‘Break-ins’ na poslužitelju kroz skriveni OpenFlashChart skript

Već nekoliko dana promatramo povećan promet skeniranja naših poslužitelja od strane robota koji pokušavaju provaliti na hosting račune. Nakon analize otkrili smo da su na računima instalirana OpenFlashChart knjižnica inačica 1.x, koja ima pogrešku koja omogućuje daljinsko otpremanje datoteka na poslužitelj.

 Pogreška je u tome da kada se datoteke učitavaju kroz skriptu, vrsta datoteka nije označena, pa se umjesto grafike (za koju se koristi ova skripta) mogu učitati izvršne datoteke. Učitane datoteke koje smo analizirali skeniraju račun za konfiguracijske datoteke popularnih usluga kao što su Joomla, WordPress, itd. Nakon skeniranja cijelog poslužitelja za ovu “propusnu” biblioteku, otkrili smo da je instalirana na mnogim računima, a autori stranica nisu bili potpuno svjesni – knjižnica je upravo instalirana prilikom instalacije druge komponente.

Primjer lokacije te “leaky” datoteke instalirane kao Joomla komponente:

public_html/administrator/components/com_jinc/classes/graphics/php-ofc-library/ofc_upload_image.php

Kao dio popularnog OpenX script:

public_html/openx/www/admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php

Ako se funkcija ne koristi, najjednostavnije rješenje za zaštitu vaše web-lokacije je brisanje te datoteke.

Michał

Odgovori