Analiza włamania na forum IPB

30 stycznia, 2013

Zostałem poproszony o znalezienie przyczyny serwowania złośliwej treści przez jedno z kilku for (silverducks.pl). Postanowiłem wejść jako normalny użytkownik na stronę główną i trochę się rozejrzeć. Pierwszą rzeczą, która przykuła moją uwagę był CMS i jego wersja: IPB 3.2.3. Nic innego nie przyszło mi na myśl, poza niedawno odkrytą podatnością wszystkich for opartych o ten skrypt w wersji <= 3.3.4. Luka pozwala na wstrzyknięcie własnego kodu PHP.

Exploit opublikowany został na exploit-db.com, gdzie cieszy się dużą popularnością. W kodzie exploita znajdujemy plik 'sh.php’, który znalazł się również na zaatakowanym serwisie. To potwierdzało moje przypuszczenia, dlatego poprosiłem o dane FTP, bo na pewno atakujący zostawił sobie jakieś tylne drzwi. Po krótkich poszukiwaniach, odnalazłem webshell’a – narzędzie webaplikacji do komunikacji z powłoką.

1 big 0
Jeden z webshelli zaszyty w plikach

Większość plików, które zostały wrzucone przez atakującego były zakodowane w Base64. Ogólnie, ręcznie usunąłem około 20 skryptów PHP, w tym webshelle oraz mailery. Skrypty do spamu wykorzystywały podstawową funkcję mail() w PHP, nie były zabezpieczone żadnym hasłem, również były zaszyfrowane w Base64.

2 big 0

Powiadomiłem właściciela o przyczynie ataku, oraz o tym że włamywacz próbował zostawić sobie jak najwięcej punktów ponownego wejścia – na wypadek usunięcia jednego z nich. Poprosiłem również o aktualizację samego IPB, gdyż nawet po wyczyszczeniu wszystkich złośliwych skryptów atak mógłby się powtórzyć.

Jak żyć?

Aktualizacje, aktualizacje i jeszcze raz aktualizacje. Prowadząc stronę internetową, serwis wymiany plików, platformę hostingową, warto pamiętać o utrzymywaniu najnowszych wersji oprogramowania którego się używa wprost od jego autora.

Autorem analizy jest użytkownik podpisujący się jako Imhotep.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]