نمایش نتایج: از شماره 1 تا 1 , از مجموع 1

موضوع: ظهور دوباره Malware مخفی شده در سرآیند فایل های jpeg

  1. November 6th, 2015, 23:57 #1
    secure_host
    secure_host آنلاین نیست.
    عضو انجمن secure_host آواتار ها
    تاریخ عضویت
    Nov 2008
    نوشته ها
    586
    تشکر تشکر کرده 
    171
    تشکر تشکر شده 
    1,382
    تشکر شده در
    508 پست

    Post ظهور دوباره Malware مخفی شده در سرآیند فایل های jpeg

    JoomlaBackdoor_V1.png


    2 سال پیش بود که بدافزار جدیدی در برخی از وب سایت های هک شده بر پایه جوملا شناسایی شد که از روش جدیدی برای مخفی سازی محتویات مخرب خود استفاده می کرد و اطلاعات خود را در header فایل های jpeg قرار میداد که گزارش فنی و تخصصی آن در پست زیر ارایه شده است.

    فایل مخرب پنهان در هدر فایل php سایت های جوملایی

    اخیرا تیم امنیتی ما در سرویس server-side-scanning فایل مخرب جدیدی را شناسایی کرده است که مانند فایل مخرب معرفی شده در لینک بالا از روش مبهم سازی base64 در هدر فایل های jpg بهره می گیرد.

    در مقاله قبل مشکلی که این نوع فایل های مخرب داشتند هنگام فراخوانی آدرس غکس ، عکس مربوطه مشاهده نمیشد ولی در این نسخه فایل عکس بدرستی نمایش داده می شود. و عکسی که به ظاهر بدون مشکل به نظرمی رسد عکس زیر است .

    parse_jpg3.png

    در فایل های اصلی جوملا فایلی به نام application.php وجود دارد که در قسمتی از فایل ، توسط تابع exif_read_data اطلاعات EXIF عکس فراخوانی می گردد و تابع preg_replace نیز برخی از اطلاعات EXIF ، نظیر Description, Aritist, Model را قرار میدهد که کد آن در عکس ذیل مشخص است.

    parse_jpg.png

    فایل application.php زمانی که فراخوانی می گردد. عکس joomla_logo_black.jpg را فراخوانی می کند که با فراخوانی عکس مربوطه EXIF Header عکس نیز فراخوانی می گردد که با مشاهده محتوی عکس می توانید هدر عکس را مشاهده نمایید که header مربوطه دستکاری شده است و توسط هکر عبارت base64_decode اضافه شده است.

    parse_jpg1.png

    وقتی فایل مربوطه را با تابع exif_read_data فراخوانی می کنیم محتوی فایل مربوطه مطابق عکس ذیل می باشد.

    parse_jpg21.png

    همان طوری که می بینید یک قسمت از کد با base64 مبهم سازی شده است که همان قسمت ، backdoor می باشد.

    به طور خلاصه هکر ها با دو تابع exif_read_data و preg_replace و فراخوانی عکس مربوطه در هر فایل php می توانند Backdoor خود را اجرا کنند.

    منبع :
    http://blog.securehost.ir/return-exif-header-joomla/
    ارایه دهنده خدمات ایمن سازی سرور های مبتنی بر لینوکس و ویندوز
    My Crime Is My Advisory . Hacking Is The Best But Security Is The First

    The Best Secure Hosting in Iran http://SecureHost.ir

    جهت تماس در شبکه IRC :mHUB.HIRCNetwork.com#Linux@Secure_Host
    پاسخ با نقل قول پاسخ با نقل قول

  2. تعداد تشکر ها ازsecure_host به دلیل پست مفید

    afshinh, Ashkankamangar.ir, company_hosting, ghomeishi, Kian, noa_takotnaha, rezaonline.net
  3. November 6th, 2015 23:57 # ADS




     
« موضوع قبلی | موضوع بعدی »

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. آموزش کامل نرم افزار JPEG Imager – کاهش حجم تصاویر
    توسط tabtak در انجمن مباحث و منابع آموزشی
    پاسخ ها: 4
    آخرين نوشته: January 26th, 2018, 12:14
  2. برنامه JPEG Imager
    توسط hamidrez4 در انجمن نرم افزار
    پاسخ ها: 2
    آخرين نوشته: December 11th, 2015, 15:37
  3. دانلود JPEG Imager 2.5.2.459 -بهینه سازی حجم تصاویر
    توسط tabtak در انجمن مباحث و منابع آموزشی
    پاسخ ها: 0
    آخرين نوشته: November 7th, 2015, 15:38
  4. پاک کردن Malware
    توسط godman757 در انجمن درخواست خدمات برنامه نویسی
    پاسخ ها: 1
    آخرين نوشته: April 8th, 2013, 15:07
  5. asp jpeg و asp upload در پلسک
    توسط J4vad در انجمن پلسک Plesk
    پاسخ ها: 1
    آخرين نوشته: October 24th, 2010, 20:10

کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  

مشاهده قوانین انجمن