גל סריקות Remote Command Injection
![[במקור: https://thehackernews.com/2011/08/uniscan-40-vulnerability-scanner.html]](https://www.digitalwhisper.co.il/images/0x4D/scan.png "[במקור: https://thehackernews.com/2011/08/uniscan-40-vulnerability-scanner.html]")
לפני קצת פחות משבוע, החבר'ה מהבלוג של SpiderLabs פרסמו הודעה כי כמה מרכיבי ה-Honeypot שלהם זיהו גל של סריקות
ממספר כתובות IP שונות אחר שרתים החשופים למספר חולשות Remote Command Injection במערכת לניהול ומעקב אחר נתוני
גלישה - AWStats.
לפי הנתונים בדו"ח ובעזרת מספר נתונים מ-Metasploit נראה כי התוקפים חיפשו בין היתר אחר חולשות ישנות מאוד (מ-2005
ו-2006):
- https://www.metasploit.com/modules/exploit/unix/webapp
- https://www.exploit-db.com/exploits/1755
מדי פעם אני מוריד את הלוגים של שרת ה-HTTP של Digital Whisper ועובר עליהם, כל פעם אני לומד משהו חדש :) וגם היום,
הורדתי את הלוגים של היומיים האחרונים, ותוך פחות מדקה ראיתי שגם את השרת של Digital Whisper ניסו לתקוף, ביומיים
האחרונים (היום ואתמול) עברו עלינו ארבעה גלים - כל אחד מכתובת IP שונה, וכולם חיפשו אחר החולשות במערכת AWStats
(וחולשת RCE נוספת ב-phpalbum):
הכתובות שמהן בוצעו הסריקות על המערכת הן:
- 80.24.95.85
- 220.179.64.23
- 67.55.95.132
- 122.255.96.164
הצלבה זריזה עם הנתונים בדו"ח של SpiderLabs מראה ששלושה מתוך ארבעת הכתובות שמהם סרקו את השרת שלנו מוכרות.
הכתובת שאינה מופיעה בדו"ח של SpiderLabs היא זו:
- 80.24.95.85
בנוסף, ארבעת כתובות ה-IP הן כתובות של שרתי HTTP, מבדיקה קצרצרה שעשיתי, על שתיים משרתי ה-HTTP קיימת לפחות אחת
מהחולשות אותן הם עצמם סורקים. ככל הנראה כך הם נפרצו. (יש סיכוי שגם על השרתים הנותרים קיימות החולשות, לא התעמקתי...)
האתרים הם:
- bbs.ahys.gov.cn - 220.179.64.23 - עדיין לא הבנתי על מה בדיוק האתר. אבל נראה שהוא אתר ממשלתי סיני.
- www.wirelesskl.com - 122.255.96.164 - חברה המספקת שירותי Wireless בעיר הבירה של מלזיה.
- www.anitin.com - 80.24.95.85 - אתר של רשת מסעדות אירופית.
- 67.55.95.132 - משתמש כאחד מהשרתים של www.webair.com (חברה ל-Hosting)
עוד נקודה מעניינת- על ארבעת ה-IP פתוח הפורט 8888 או 9999 שמשמש לשירות NewsEDGE Server, שוב, לא חקרתי לעומק.
על כל פנים, אני ממליץ בחום לבדוק טוב טוב אילו תוכנות אתם מתקינים על השרת שלכם והאם הן מאובטחות מספיק :)
תגובות על 'גל סריקות Remote Command Injection':
#1 |
 |
sdimant: מעניין, תודה רבה 18.12.2011 20:48:30 |
#2 |
|
שמיל (אורח): חשבת אולי להודיע לבעלי האתרים? 18.12.2011 21:30:55 |
#3 |
|
cp77fk4r: יש'ך את הטלפון של ממשלת סין? :) 18.12.2011 21:40:23 |
#4 |
|
B1nary (אורח): טוב שלפחות אתם משתמים במערכת CMS בייתית ולא משהו בסיגנון Wordpress, ככה שאין לכם ממה לחשוש בנוגע לכלים האוטומטיים האלה... :) יאללה מחכה כבר לגליון ה-28! 18.12.2011 22:12:38 |
#5 |
|
Dm12 (אורח): מעניין, בצורה כזאת ניתן לזהות גם אם מישהו משתמש ב-0Day לכל מני מערכות וכל לדעת לתקן אותם. cP, קיים איזשהו פרוייקט שעושה את זה? 19.12.2011 08:07:53 |
#6 |
|
cp77fk4r: זה רעיון מעולה, אבל Honeynet חשבו עליו לפניך :), למרות שאני לא בטוח לגבי חולשות ב-Web Applications. 19.12.2011 19:02:24 |
#7 |
|
cp77fk4r: נו, אז הנה, עכשיו אותם החבר׳ה יצאו בפרסום על גל מתקפה חדש- הפעם על החולשה השניה שסרקו גם בשרתים של Digital Whisper, שקיימת במערכת phpAlbum, שמאפשרת הרצת קוד מרוחק על השרת. ניתן לקרוא על כך מכאן: https://blog.spiderlabs.com/2011/12/honeypot-alert-phpalbum-php-code-execution-attacks.html 20.12.2011 01:33:14 |
#8 |
|
גרגורי (אורח): מגניב! תודה :) 21.12.2011 07:24:49 |
#9 |
|
An7i (אורח): אפיק, עולה מהתמונה שכשהם סרקו פגיעות בדף main.php השרת שלך זרק 500.. הדף לא קיים. הגדרה בשרת? WAF? 22.12.2011 22:32:23 |
#10 |
|
שמיל (אורח): זה נראה כמו תגובה של Mod Rewrite... 23.12.2011 18:21:50 |
#11 |
|
chen_eli (אורח): 1. אפשר בבקשה לתקן את https://www.digitalwhisper.co.il/files/Zines/0x15/Kernel-Mode_Rootkit.zip 25.12.2011 21:21:46 |
#12 |
|
chen_eli (אורח): ואגב מעניין לדעת ! הרי אם אני רוצה להסתיר קובץ (תוכנה) אזי מה קורה שהוינדוס ירצה לפתוח אותו הרי למשל נניח עכשיו אני מנסה להריץ אותו אז אני ניגש ל shellexecute או winexec מה שלא יהיה (ברמת הקרנל :) ) הרי אני מבין שהוא עצמו ינסה למצוא את הקובץ ע"י findfirstfile וכדו' (לא בדקתי מצטער על העצלות) ואז הוא עצמו לא ימצא בקיצור אני מתכוון לשאול שבוסופו של דבר זה אמור לפגוע בתפקוד כי אותם פונקציות שנבצע עליהם HOOKING הוינדוס יצטרך אותם בשבילנו ובכלל לא לדבר על כך שאם ביצעתי HOOKING על CREATEFILE וכדו' ואני מונע מלטעון את התוכנה לזיכרון (אם יש API נוספים אז גם הם) איך בדיוק הוינדוס יתקשר עם התוכנה שלי עצמי חשבתי על פיתרון של לבדוק את הפרנט (PARNET) שמפעיל אותו ולפי זה לדעת אם לסנן או לא תקנו אותי אם אני טועה ווואאווו נראה לי חפרתי לכם מצטער אבל השאלה הזאת קצת מציקה לי 25.12.2011 23:55:55 |
#13 |
|
cp77fk4r: chen_eli - הקובץ במיקום שציינת סודר. 29.12.2011 01:35:53 |
#14 |
|
שמיל (אורח): צוות המחקר מהבלוג של SpiderLabs פרסמו עוד הודעה - הפעם על התוכנה "Jarolim Yet Another Photoblog" בגרסאות 1.9.26. למידע על החולשה: https://www.securityfocus.com/bid/39605/info למידע על הסריקה: https://blog.spiderlabs.com/2011/12/honeypot-alert-phpthumb-fltr-parameter-command-injection-detected.html 30.12.2011 21:54:24 |
#15 |
|
inHaze (אורח): ד"א: 500 - internal server error 404 - page not exist נראה כמו תגובה לגיטימית של השרת. 31.12.2011 12:43:33 |
#16 |
|
inHaze (אורח): An7i- אחרי שכתבתי את התגובה, הבנתי למה התכוונת. ניתן להתעלם מהתגובה הקודמת :) 31.12.2011 12:47:54 |
#17 |
|
Sunny (אורח): Your article was excleenlt and erudite. 06.01.2012 21:56:19 |
הוסף את תגובתך:
