Analiza włamania na forum IPB

Zostałem poproszony o znalezienie przyczyny serwowania złośliwej treści przez jedno z kilku for (silverducks.pl). Postanowiłem wejść jako normalny użytkownik na stronę główną i trochę się rozejrzeć. Pierwszą rzeczą, która przykuła moją uwagę był CMS i jego wersja: IPB 3.2.3. Nic innego nie przyszło mi na myśl, poza niedawno odkrytą podatnością wszystkich for opartych o ten skrypt w wersji <= 3.3.4. Luka pozwala na wstrzyknięcie własnego kodu PHP.

Exploit opublikowany został na exploit-db.com, gdzie cieszy się dużą popularnością. W kodzie exploita znajdujemy plik 'sh.php', który znalazł się również na zaatakowanym serwisie. To potwierdzało moje przypuszczenia, dlatego poprosiłem o dane FTP, bo na pewno atakujący zostawił sobie jakieś tylne drzwi. Po krótkich poszukiwaniach, odnalazłem webshell'a - narzędzie webaplikacji do komunikacji z powłoką.

Jeden z webshelli zaszyty w plikach

Większość plików, które zostały wrzucone przez atakującego były zakodowane w Base64. Ogólnie, ręcznie usunąłem około 20 skryptów PHP, w tym webshelle oraz mailery. Skrypty do spamu wykorzystywały podstawową funkcję mail() w PHP, nie były zabezpieczone żadnym hasłem, również były zaszyfrowane w Base64.

Powiadomiłem właściciela o przyczynie ataku, oraz o tym że włamywacz próbował zostawić sobie jak najwięcej punktów ponownego wejścia - na wypadek usunięcia jednego z nich. Poprosiłem również o aktualizację samego IPB, gdyż nawet po wyczyszczeniu wszystkich złośliwych skryptów atak mógłby się powtórzyć.

Jak żyć?

Aktualizacje, aktualizacje i jeszcze raz aktualizacje. Prowadząc stronę internetową, serwis wymiany plików, platformę hostingową, warto pamiętać o utrzymywaniu najnowszych wersji oprogramowania którego się używa wprost od jego autora.

Autorem analizy jest użytkownik podpisujący się jako Imhotep.



Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej