.
МЕСТО ПОД РЕКЛАМУ
12 Январь 2016

Скрытое выполнение в PHP скриптах

Статья настолько мне понравилась, что с указанием источника сделал полный репост!
Знания необходимы для возможности определить «заразу» визуально для дальнейшего его уничтожения.
Далее от автора:

Цель данной статьи — познакомить веб-мастеров с различными подходами, которыми пользуются хакеры, чтобы затруднить обнаружение и анализ исходного кода бэкдора или хакерского шелла.

В процессе лечения сайтов мы обнаруживаем множество разновидностей хакерских шеллов и бэкдоров. Скрипты отличаются функционалом и способом обфускации исходного кода, но у всех есть общая черта — это неявное объявление переменных и функций, а также косвенный вызов функций.

Данный подход с одной стороны значительно усложняет анализ исходного кода, а с другой — позволяет хранить код в текстовых данных. Например, часть вредоносного кода может загружаться со стороннего сайта, из базы данных и мета-данных jpeg/png/gif или передаваться в запросе к скрипту. Кроме того, часть кода, представленная в виде обычной текстовой строки, может быть очень надежно зашифрована.

Эти же приемы используются веб-разработчиками и в мирных целях в скриптах проверки лицензионных ключей и регистрации веб-приложений, чтобы затруднить взлом программных продуктов.

Несмотря на все многообразие вредоносного кода, существует не так много вариантов объявления и косвенного вызова функций.
Ниже представлены примеры различных техник скрытого вызова кода. Для простоты и наглядности пусть «вредоносный код» представлен обычной функцией

echo «Test»

которая выводит слово «Test» на странице. Естественно, имена переменных и функций, а также исполняемый код не хранятся в открытом виде и в большинстве случаев обфусцированы.

Вариант 1: косвенный вызов функции


<?php
    $a = "var_dump";
    $b = "Test";
    $a($b);
?>

Вариант 2: выполнение кода через eval


<?php
  eval('$a = "Test"; echo $a;');
?>

Вариант 3: выполнение кода через assert


<?php
  assert('print("Test")');
?>

Вариант 4: выполнение кода через array_map


<?php
  function evil($a) {
    echo $a;
  }
  array_map('evil', array("Test"));
?>

Вариант 5: выполнение кода через preg_replace(‘/.*/e’)


<?php
  preg_replace('/.*/e', 'print("Test")', '');
?>

Вариант 6: выполнение кода через preg_replace_callback


<?php
  $a = function () { echo "Test"; };
  preg_replace_callback('/.*/', $a, '');
?>

Вариант 7: выполнение кода через usort, uasort, uksort


<?php
  $a = function ($x, $y) { echo "Test"; };
  $b = array(1 => '1', 2 => '2');
  usort( $b, $a);
?>

Вариант 8: скрытое объявление функций и передача параметров через extract


<?php
   extract($_REQUEST);
   $a($b);
?>

При запуске http://site.ru/script.php?a=system&b=ls выполнит системную функцию system(«ls»)

 

Вариант 9: через регистрацию функции завершения (можно сделать exit() или die() для немедленного выполнения)


<?php
   register_shutdown_function(create_function('', "echo 'Test';"));
?>

Такой же подход можно использовать со всеми вызовами, принимающими в качестве аргумента callable функцию: call_user_func_array(), call_user_func(), forward_static_call_array, forward_static_call(), register_tick_function(). Хотя в реальных шеллах и бэкдорах вызовы через данные функции мы не встречали, обычно используются варианты с 1 по 8.

 

В реальных бэкдорах перечисленные варианты используют в комплексе, причем сами объявления переменных и функций часто выносят за пределы скрипта (например, загружают из базы данных, с удаленного сервера или из мета-данных изображений).

 

Кстати, бОльшая часть данных вызовов успешно детектируется сканером вредоносного кода AI-BOLIT. Это отличает его от обычных сканеров, выполняющих поиск вредоносного кода по хэшу.

Источник

рубрики: security, Полезности | Комментарии (0)

4 Сентябрь 2015

NGINX — запрещаем доступ к служебным файлам .git .bak .old .htaccess и других по расширению

Нередко, в движках используют в скриптах подключаемые файлы с расширением отличным от php, что имхо очень неправильно и опасно.
Например в одном из движков (не буду тыкать пальцем каком именно) в темлейте подключают файлы с расширением .tpl которые не являясь активкой по умолчанию (интерпретатор настроен по умолчанию как правило на htm html php php5 и подобные), которые спокойно открываются в браузере в исходных кодах! а там уже есть чего поанализировать «плохим парням» 🙂
Другой пример — служебные файлы .git, старые резервные копии .bak .old … всё это часто забывают запретить в настройках аппача или nginx-а.

Соответственно, добавляем в nginx следующие строки, и спим спокойно

404

рубрики: security, Администрирование | Комментарии (0)

25 Август 2015

Хакеры добрались до РУ фармы!

Всем привет! Давненько не писал — лето, дача, шашлык … 🙂
Решил чиркануть имхо интересное:

Сижу вот, анализирую выдачу Яндекса! да, да именно Яши, где «доров нет» и выдача чиста!
на счёт фарма запросов — и охреневаю от количества лома (взломанных сайтов) с залитыми на них дорами в виде рабочих фарма-аптек
пример лома
http://gromart.ru/info.php?topic=/dapoksetin-kupit-v-novosibirske.php
смотрим «морду сайта» http://gromart.ru/ к аптеке ну никакого отношения не имеет!

причём залито на движки от джумлы (самый уязвимый для лома), самописных и заканчивая якобы непробиваемым Битриксом
похоже ломают через воровство ftp паролей у людей имеющих доступ к сайтам уже непосредственно на стороне этих людей какими нибудь вирусятинами, троями и т.д.

пока сижу и думаю чего же с этим делать … пока не придумал…
то-ли шеллы уже начинать покупать, или самому хакерством увлечься…
сильно напрягает, что незаконно всё это, да и в выдаче не высоко (белые проекты заведомо выше)

то-ли стукачить начать, и желательно в автоматическом режиме, для чистки выдачи от этой херни 🙂

для начала решил изучить заразу поближе и метод заражения — врага нужно знать в лицо
пробую связаться с хозяевами зараженных сайтов, в обмен за информацию о заразе, предлагаю помощь в чистке заразы — пока тишина …

P.S. по запросу в Яше по номеру телефона аптеки — вообще «тушите свет» — лома ой ой ой сколько, надо наверное услуги по чистке предлагать 🙂

P.P.S. походу людям вообще на свои сайты похеру — написал около 30 писем на контакты с завирусёными сайтами — реакции нуль! ну и хер с вами …

рубрики: Bitrix, security, SEO, Администрирование, Размышления | Комментарии (1)

15 Июль 2015

Как перенести настройки iptables через файл

Сегодня с ужасом обнаружил, что на одном из моих серверов iptables пустая (был уверен, что настроено).
Соответственно, рецепт по переносу настроек с одного сервера на другой прост:
1. service iptables save на тот откуда тащим
2. перетаскиваем /etc/sysconfig/iptables
3. service iptables reload на том куда перетащили

P.S.
Отличная статейка по iptables

рубрики: security, Администрирование, Полезности | Комментарии (1)

10 Июль 2015

Взлом сайта по FTP — разрешаем доступ по IP

Вчера ломанули группу сайтов тупо по FTP — законнектились и сделали инжекты во все скрипты php и в html тоже …
Благо сработал скрипт сравнения версий файлов — вовремя отреагировал, всё восстановил.
Причём подозреваю в этом себя т.к. ломанули сайты разные и ко всем у меня был прописан доступ в FAR-е 🙁 (хотя не факт)
Итак:
1. Не храним доступ в открытом виде, не ленимся вводить пароль (очень для меня трудно-исполнимый пункт)
2. Меняем стандартный порт доступа FTP на нестандартный (в конфиге сервера listen).
3. Ограничиваем доступ FTP по IP адресу (заливали файло в левых IP) — в моём случае VSFTPD не позволяет прописывать доступ по IP, поэтому сделаем боле правильно — запретим/разрешим доступ на уровне фаервола iptables

сначала посмотрим текущие
iptables -L INPUT —line-numbers
находим и убираем старое правило
iptables -D INPUT номер
добавляем новое iptables -A INPUT -p tcp -s 192.168.0.0/24 —dport 22 -j ACCEPT
(IP и маску пишем свои — откуда будем цепляться)
service iptables save
service iptables restart

у меня не сработало, т.к. правило добавилось в конец, после запрета всех
пришлось поправить порядок вручную
/etc/sysconfig/itrables.save
service iptables restart

рубрики: security, Администрирование, Полезности | Комментарии (0)

8 Июль 2015

Меняем порт для webmin

Собственно, в логах увидел приличный перебор паролей по 10000 порту (webmin).
Решил поменять порт доступа для пущей секъюрности.

Лезем в настройки /etc/webmin/miniserv.conf
правим две строчки port=10000 и listen=10000
Перезагружаемся /etc/init.d/webmin restart

Разрешаем новый порт
su
iptables -I INPUT -p tcp —dport НОВЫЙ_ПОРТ -m state —state NEW -j ACCEPT
service iptables save
service iptables restart

рубрики: security, Администрирование, Полезности | Комментарии (0)

20 Ноябрь 2014

Linux — поиск файлов по дате изменения

Нашел давеча скрипт спамер на одном из хостингов с помощью обновлённой статейки Как найти php скрипт — mail спамер?
Сразу же вопрос — может ещё чего прокинули одновременно с пробросом данного скрипта, решил найти все файлы созданные/модифицированные этим же днём, что и найденный скрипт.
К удивлению на мой запрос «поиск файлов по дате изменения linux» в поисковиках я находил только поиск изменённых за последние N дней, или раньше чем файл — т.е. конкретно поискать за 11 Октября никак.
Пришлось включать голову и изобретать велосипед 🙂
Решение придумалось такое:

ls -alR | grep «Oct 11» > res.txt

выводим список всех файлов, включая поддиректории, фильтруем по нужному числу — результат кидаем в res.txt для дальнейшего изучения

P.S.

Не забываем ещё поискать по содержимому.

рубрики: security, Администрирование, Полезности | Комментарии (0)

7 Ноябрь 2014

Битрикс — безопасность при многосайтовости. Запираем сайты в своих папках.

В продолжение моей же статьи Битрикс — несколько сайтов на хостинге. Разграничение доступа
Итак, незнаю почему я в прошлой статье и вообще на протяжении всего этого времени я тупил на предмет «…Запереть аппач в root директории сайта возможности нет… ЧТО ДЕЛАТЬ?…» даже не скажу.
Ведь стандартную open_basedir никто не отменял и почему я в своё время посчитал невозможным её использование уже не припомню.
Единственная проблема — это то, что Битрикс по умолчанию хранит файлы сессий и темовые файлы в папке расположенной вне папки сайта, соответственно при использовании open_basedir сайт не сможет работать. Переопределяем эти переменные на вновь созданную папку, врубаем open_basedir и вуаля — скрипты сайта заперты в домашней папке сайта — зараза с одного сайта уже не переползёт на другой!
Если, что конфиги сайтов аппача лежат в /etc/httpd/bx/conf/
123
Для проверки закинул сам себе wso2.php — на верхний уровень нет.
Вообще, по-хорошему, нужно переопределить структуру файлов так, чтобы темповая папка была не в папке сайта, а чуть выше, а open_basedir был настроен на уровень выше.
Как то так:
./site-dir/temp
./site-dir/httpdosc

рубрики: Bitrix, security | Комментарии (0)

29 Май 2014

NGINX — защита от DDOS с одного IP. Параметры limit_zone и limit_req.

У одного из клиентов сайт частенько сайт начал «лежать», изучение логов показало множественные запросы (более 10) с одного и того-же IP адреса, которые и давали нагрузку на сайт.
Фронтендом у клиента стоял nginx — поэтому заблокировать подобную активность не составило никакого труда.
В этом мне помогли директивы limit_zone и limit_req.
Собственно, первое — в секцию httpd добавляем запись, ограничивающую активность до 2х запросов в секунду
limit_req_zone $binary_remote_addr zone=one:10m rate=2r/s;
В секцию обработки динамики собственно активируем нашу запись (зону созданную в httpd)
limit_req zone=one burst=3;

Вуаля, от «лоховских» ботов атакующих с одного и того-же IP мы защищены!
Кому интересно поподробнее — запрос «limit_req_zone» в помощь 🙂

P.S.
Чтоб случайно не «резануть» ботов, рекомендую добавить в robots.txt паузу в запросах от ботов в 1 секунду
Crawl-delay: 1

рубрики: security, Администрирование, Полезности | 4 комментария

7 Май 2014

PHP OpenSSL — работаем с почтой pop.gmail.com

Чего-то хозяева бэкдора активизировались прямо — вчера домены парсили, сегодня тестят работу с гугулом по SSL.
Собственно, код (имхо полезный):


$descriptorspec = array(
0 => array("pipe", "r"),
1 => array("pipe", "w"),
2 => array("file", "/dev/null", "a")
);
$cwd = '/tmp';
$process = proc_open('openssl s_client -crlf -connect pop.gmail.com:995', $descriptorspec, $pipes, $cwd, $env);
sleep(1);
if (is_resource($process)) {
// fwrite($pipes[0], 'USER hello');
fclose($pipes[0]);
$res=stream_get_contents($pipes[1]);
// var_dump($res);
if (stristr($res,"OK Gpop ready")){
echo md5("openssl");
}
fclose($pipes[1]);
$return_value = proc_close($process);
}

рубрики: security, Полезности, Программирование | Комментарии (1)

Яндекс.Метрика Top.Mail.Ru