Рубрика «бэкдор» - 4

Как известно, в последних версиях мобильных операционных систем Android 5.0 и iOS 8 внедрено шифрование данных по умолчанию. Чтобы изъять информацию, теперь требуется физический доступ к телефону и знание пароля.

ФБР крайне недовольно тем, как поступили разработчики из компаний Apple и Google. Более того, Бюро считает такую позицию этих компаний антиобщественной. Директор ФБР Джеймс Коуми (James B Comey) пытается склонить общественное мнение на свою сторону. Феерическое выступление Коуми состоялось 16 октября в Брукингском институте (Вашингтон), одном из ведущих экспертно-аналитических центров в США, который специализируется на общественных науках, муниципальном управлении, внешней политике и мировой экономике (стенограмма).

Внедрение криптографии в iOS и Android стало главной темой выступления директора ФБР. Он опять повторил главные тезисы своей позиции.

Технологии стали инструментом в руках очень опасных людей, говорит Коуми. К сожалению, законы отстают от технологического прогресса, поэтому правоохранительные органы не всегда способны получить необходимые улики, чтобы преследовать преступников и предотвращать терроризм. «У нас есть юридическое право перехватывать и прослушивать коммуникации и получать информацию по судебному ордеру, но часто отсутствует техническая возможность делать это».
Читать полностью »

В процессе лечения сайтов обнаруживается множество разновидностей хакерских шеллов и бэкдоров. Скрипты отличаются функционалом и способом обфускации исходного кода, но у всех есть общая черта — это неявное объявление переменных и функций, а также косвенный вызов функций.

Данный подход популярен среди разработчиков вредоносного кода, так как с одной стороны значительно усложняет анализ исходного кода, а с другой позволяет хранить код в текстовых данных. Например, часть вредоносного кода может загружаться со стороннего сайта, из базы данных, мета-данных jpeg/png/gif или передаваться в запросе к скрипту. Кроме того, часть кода, представленная в виде обычной текстовой строки, может быть легко зашифрована.

Кстати, эти же приемы используются веб-разработчиками и в мирных целях в скриптах проверки лицензионных ключей и регистрации веб-приложений, чтобы затруднить взлом программных продуктов.

Несмотря на все многообразие вредоносного кода, существует не так много вариантов объявления и косвенного вызова функций. Ниже представлены примеры различных техник скрытого вызова кода. Для простоты и наглядности пусть «вредоносный код» представлен вызовом

echo "Test"

который выводит слово «Test» на странице. Естественно, в реальных шеллах и бэкдорах имена переменных и функций, а также исполняемый код не хранятся в открытом виде и в большинстве случаев обфусцированы.

Читать полностью »

Постановка задачи

Клиент обратился с проблемой появления скрытых ссылок на страницах своего интернет-магазина, работающего на Phpshop Enterprise 3.6. Необходимо найти код, вставляющий ссылки, удалить его и установить защиту на сайт, чтобы подобное не повторилось в будущем.

Процесс

Спам-ссылки появлялись в коде страницы в виде скрытого блока

<font style='display:none;'> 
<style> 
ul.c98ee5 { 
padding: 0 !important; 
margin: 0 !important; 
font-size: 12px !important; 
background-color: #F7F7F7 !important; 
border: 1px solid #000000 !important; 
} 
.c98ee5 li { 
list-style: none !important; 
padding: 2px !important; 
text-align: left !important; 
} 
...

</style> 
<ul class="c98ee5"> 
<li> 
<span><a 
href="http://какой-то-сайт/otdelenie-pomoshchi-na-domu/">Врач на дом платно</a></span><br /> 
<span class="text">Материалы о беременности и родах, развитии 
детей и др. Подробно о клинике.</span><br /> 
<span class="host">какой-то-сайт</span>

Читать полностью »

Предыстория

Жил-был один старый-старый сайт. Родители от него отказались, и на втором десятке лет существования он попал к нам. Он представлял из себя джунгли PHP кода, разбросанного по папкам. Все это было написано в разное время, с использованием разных паттернкостылей, в разных кодировках (до 3ёх кодировок в пределах одного файла). MVC тогда, наверное, еще не было известно, да и о шаблонизаторах разработчики не слышали, так что не стоит удивляться внезапному

<? if (cond) { ?>

в HTML разметке. Я провел не один час в увлекательных поисках нужного

<? } ?>

Разработчики не забывали и про бэкапы: в корне можно было найти index.php, index_old.php, index.php.bak. Но несмотря ни на что, это чудо работало. А что работает — не трожь.

Завязка

Эта история началась, когда солнечным декабрьским утром специалист по продвижению с удивлением обнаружил ссылки на чужеродные сайты в футере. Немного покопавшись выяснилось 2 вещи:

  1. это сапа;
  2. заказчик недоумевает.

Читать полностью »

Чтобы вы не думали, что D-Link является единственным поставщиком, который оставляет бэкдоры в своей продукции, вот еще один — Tenda.

Читать полностью »

image

На информационном портале devttys0.com некто Craig Heffner – опытный специалист в области реверс-инжиниринга – выложил статью-исследование очередной (уже находили) программной закладки в роутерах D-Link. На этот раз закладка была выявлена в официальной прошивке для DIR-100 revA, но, по его мнению, присутствует в роутерах других серий:

  • DIR-100
  • DI-524
  • DI-524UP
  • DI-604S
  • DI-604UP
  • DI-604+
  • TM-G5240
  • Planex BRL-04UR
  • Planex BRL-04CW

Коротко говоря, если у вашего браузера установлен User-Agent как «xmlset_roodkcableoj28840ybtide», то вы автоматически получаете админский доступ к веб-панели управления роутером без всякой авторизации.
Читать полностью »

image
На конференции Линукскон (Linuxcon) в Новом Орлеане, к разработчикам ядра присоединился Линус Торвальдс, отвечая на шквал вопросов относительно разработки линукса. Одним из заданных ему вопросов был, обращалось ли когда-либо к нему правительственное учреждение с просьбой вставить в линукс бэкдор. Торвальдс ответил «нет», при этом утвердительно кивая, что вызвало смех аудитории.

Торвальдс также признал наличие у себя полноценной жизни за пределами линукса, но при этом он не представляет своей жизни без него.

Читать полностью »

Предисловие

Однажды попросил меня друг посмотреть почему у него не получается установить шаблон на CMS Opencart.

Присылает ссылку на сайт, доступы к административной части и хостингу. Захожу, вижу шаблон в директории с темами (/catalog/view/theme/). Немного разобравшись в структуре системы, понимаю, что инструмента для загрузки шаблонов нет, как например, в WordPress. Добавление новой темы происходит загрузкой нужных файлов в определенные папки. А CMS «узнает» о доступных шаблонах сканированием папки с темами.
Читать полностью »

Новые бэкдоры в серверной продукции HP HP признали, что их серверы StoreVirtual могут содержать недокументированные бэкдоры. Уязвимость может стать причиной несанкционированного доступа в системы хранения. Бэкдор предоставляет пользователям возможность прямого доступа в святую святых, «LeftHand» (операционная система на сервере StoreVirtual). HP ранее уже продавали на рынке свои системы StoreVirtual как хранилище LeftHand (LeftHand Storage) и P4000 SAN. Операционная система LeftHand изначально имела название SAN/iQ.Читать полностью »

Польский security-эксперт Michał Sajdak из компании Securitum нашел очень интересный бэкдор в роутерах TP-LINK.

Эксплуатация бэкдора довольна проста, и её суть показана на следующей иллюстрации:
Бэкдор в роутерах TP LINK

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js