secure_host
November 6th, 2015, 23:57
28738
2 سال پیش بود که بدافزار جدیدی در برخی از وب سایت های هک شده بر پایه جوملا شناسایی شد که از روش جدیدی برای مخفی سازی محتویات مخرب خود استفاده می کرد و اطلاعات خود را در header فایل های jpeg قرار میداد که گزارش فنی و تخصصی آن در پست زیر ارایه شده است.
فایل مخرب پنهان در هدر فایل php سایت های جوملایی (http://blog.securehost.ir/exif-img-header/)
اخیرا تیم امنیتی ما در سرویس server-side-scanning (http://securehost.ir) فایل مخرب جدیدی را شناسایی کرده است که مانند فایل مخرب معرفی شده در لینک بالا از روش مبهم سازی base64 در هدر فایل های jpg بهره می گیرد.
در مقاله قبل مشکلی که این نوع فایل های مخرب داشتند هنگام فراخوانی آدرس غکس ، عکس مربوطه مشاهده نمیشد ولی در این نسخه فایل عکس بدرستی نمایش داده می شود. و عکسی که به ظاهر بدون مشکل به نظرمی رسد عکس زیر است .
28739
در فایل های اصلی جوملا فایلی به نام application.php وجود دارد که در قسمتی از فایل ، توسط تابع exif_read_data اطلاعات EXIF عکس فراخوانی می گردد و تابع preg_replace نیز برخی از اطلاعات EXIF ، نظیر Description, Aritist, Model را قرار میدهد که کد آن در عکس ذیل مشخص است.
28740
فایل application.php زمانی که فراخوانی می گردد. عکس joomla_logo_black.jpg را فراخوانی می کند که با فراخوانی عکس مربوطه EXIF Header عکس نیز فراخوانی می گردد که با مشاهده محتوی عکس می توانید هدر عکس را مشاهده نمایید که header مربوطه دستکاری شده است و توسط هکر عبارت base64_decode اضافه شده است.
28741
وقتی فایل مربوطه را با تابع exif_read_data فراخوانی می کنیم محتوی فایل مربوطه مطابق عکس ذیل می باشد.
28742
همان طوری که می بینید یک قسمت از کد با base64 مبهم سازی شده است که همان قسمت ، backdoor می باشد.
به طور خلاصه هکر ها با دو تابع exif_read_data و preg_replace و فراخوانی عکس مربوطه در هر فایل php می توانند Backdoor خود را اجرا کنند.
منبع :
http://blog.securehost.ir/return-exif-header-joomla/
2 سال پیش بود که بدافزار جدیدی در برخی از وب سایت های هک شده بر پایه جوملا شناسایی شد که از روش جدیدی برای مخفی سازی محتویات مخرب خود استفاده می کرد و اطلاعات خود را در header فایل های jpeg قرار میداد که گزارش فنی و تخصصی آن در پست زیر ارایه شده است.
فایل مخرب پنهان در هدر فایل php سایت های جوملایی (http://blog.securehost.ir/exif-img-header/)
اخیرا تیم امنیتی ما در سرویس server-side-scanning (http://securehost.ir) فایل مخرب جدیدی را شناسایی کرده است که مانند فایل مخرب معرفی شده در لینک بالا از روش مبهم سازی base64 در هدر فایل های jpg بهره می گیرد.
در مقاله قبل مشکلی که این نوع فایل های مخرب داشتند هنگام فراخوانی آدرس غکس ، عکس مربوطه مشاهده نمیشد ولی در این نسخه فایل عکس بدرستی نمایش داده می شود. و عکسی که به ظاهر بدون مشکل به نظرمی رسد عکس زیر است .
28739
در فایل های اصلی جوملا فایلی به نام application.php وجود دارد که در قسمتی از فایل ، توسط تابع exif_read_data اطلاعات EXIF عکس فراخوانی می گردد و تابع preg_replace نیز برخی از اطلاعات EXIF ، نظیر Description, Aritist, Model را قرار میدهد که کد آن در عکس ذیل مشخص است.
28740
فایل application.php زمانی که فراخوانی می گردد. عکس joomla_logo_black.jpg را فراخوانی می کند که با فراخوانی عکس مربوطه EXIF Header عکس نیز فراخوانی می گردد که با مشاهده محتوی عکس می توانید هدر عکس را مشاهده نمایید که header مربوطه دستکاری شده است و توسط هکر عبارت base64_decode اضافه شده است.
28741
وقتی فایل مربوطه را با تابع exif_read_data فراخوانی می کنیم محتوی فایل مربوطه مطابق عکس ذیل می باشد.
28742
همان طوری که می بینید یک قسمت از کد با base64 مبهم سازی شده است که همان قسمت ، backdoor می باشد.
به طور خلاصه هکر ها با دو تابع exif_read_data و preg_replace و فراخوانی عکس مربوطه در هر فایل php می توانند Backdoor خود را اجرا کنند.
منبع :
http://blog.securehost.ir/return-exif-header-joomla/