[Критическая уязвимость (v11.1)]

5 часов назад, SKYNET74 сказал:

В данном случае, если я правильно понял код, не вела на сайт злоумышленника, а выполнила JS прямо на go.php, или я не прав?
И хотите сказать было бы не видна странность при просмотре URL такой ссылки?

абсолютно верно - то что было закодировано для go.php не было ссылкой - это был JS-код, который был выплюнут им на домене сайта, моего сайта.

 

ну за годы ведения сайта я тоже на 99% атак уже выработал иммунитет и, естественно, не хожу по всем ссылкам подряд. В данном конкретном случае письмо имело стандартный вид вид, коих приходит множество и реакция на которые единственная и простая - открыл удалил. Иногда ссылок в кляузе бывает до полсотни штук - и тогда, со временем, защитные механизмы мозгов притупляются и действуешь на автомате, что собственно и произошло.

[Критическая уязвимость (v11.1)]

Немного вклинюсь в Вашу беседу - речь шла не о комментариях - зловред был прислан в Личные сообщения.

 

"будучи администраторами, люди бездумно идут по ссылкам" - администраторы тоже люди (даже матерые программеры и прочие животные), со свойственными людям недостатками типа переутомление, какие-либо жизненные неурядицы, привыкание к множеству однотипных и монотонных операций и тп. Так что не стоит поливать грязью бездумных администраторов. Уверен на 120%, что любой из Вас хоть раз в жизни попадался на довольно тупые разводы типа этого - все люди одинаковы и абсолютно непогрешимых не бывает.

Поэтому, не стоит валить косяки с недостаточной фильтрацией полностью на тупых администраторов - вина, как бы сказать, коллективная.

[Критическая уязвимость (v11.1)]

19 минут назад, MSK сказал:

Ну на самом деле подобный "финт" возможен на любой CMS, в которой есть внутренний редирект для ссылок.
Лечится это достаточно просто (ну пока новый не придумают) - проверка ссылки при генерации редиректа.

Спасибо за инфу - о подобных вещах надо узнавать как можно скорее. Предупрежден - значит вооружен.

 

Я бы добавил еще, что подобным способом можно не только Админа создать, но и любые действия выполнить доступные авторизованному пользователю... Т.ч. это касается не только Админов.

Пока нет заплатки - лучше отключить в настройках групп

Автоматическая замена ссылок в тег [leech]
Разрешить использование кликабельных ссылок

в он ее не тегом [leech] сделал - это вручную было закодировано и всунуто, так что отключение лича не поможет

нужно скипать любой програмный код в /engine/go.php

 

на счет любых действий от имени авторизованных пользователей - согласен, но это не так критично, как под админом

 

кстати, уже немного позже обнаружил, что хацкер включил в движке заливку файлов, так что это, по-видимому, был еще далеко не конец.. видимо просто немного не успел

[Критическая уязвимость (v11.1)]

да смысла в ссылке нет - то, что было закодировано в ней (js код) я раскодировал и выложил на обозрение. Выкладывать тот же код в base64 я не вижу смысла

7 минут назад, MSK сказал:

Забыл самое очевидное - ссылка должна быть в истории браузера.

Ну и текст грамотно составлен. Убедительно, для перехода по ссылке.

Правильное использование социальной инженерии.. такие письма счастья многие админы получают пачками и действуют на автомате - открыл, удалил. Так, что все было рассчитано верно - ни кто обычно не проверяет ссылку, тем более оно закодировано base64, вроде как ведет на твой же сайт и тп. и вуаля

17 минут назад, webair сказал:

О таком надо писать в обратную связь и в личные сообщения celsoft. Сейчас понабегут и пойдут ломать сайты )

ну самому я не писал, а в саппорт скинул одновременно с этой темой. Чем раньше закроют - тем меньше будет жертв.

честно говоря - это мой последний проект на DLE.. все время его ломали, то так, то эдак.. в топку

[Критическая уязвимость (v11.1)]

28 минут назад, MSK сказал:

Да, оригинальный способ заставить админа создать админа

Посмотрите бекапы sql, возможно есть копия с перепиской.

 

сам текст послания не оригинален и ни чего нового не несет, поэтому и выкладывать не стал, но кому интересно вот копия из мыла, пришедшего по ПМ:

Цитата

Уважаемая администрация веб сайта,
Материалы, принадлежащие нашему клиенту, размещены на Вашем сайте. Клиент разрешения на их публикацию на указанном веб ресурсе не давал. Существуют основания для запрета клиентом к распространению в сети данных файлов, а также основания, в случае отказа удаления, признания соответствующих действий компрометирующими. Просим удалить материалы в течение 3-х рабочих дней со дня получения данного письма. Данное письмо просим считать официальным электронным уведомлением*, которое является зарегистрированным в соответствующей электронной базе t&p, заверено электронной подписью и может быть использовано t&p в качестве аргумента в случае возникновения дополнительных разбирательств.

Ссылка на материал
_________
*зафиксирован t&p как официальное средство уведомления состоянием на 3 марта 2017 года

С уважением, Екатерина Стрельцова
Ведущий специалист t&p
tokarevpartners.ru
Regards, Kate Stleltzova

на тексте "Ссылка на материал" и висел зловред

[Критическая уязвимость (v11.1)]

Сегодня меня взломали благодаря уязвимости в движке + человеческий фактор.

Метод атаки:

1. Через систему личных сообщений пользователю из группы Администраторы присылают письмо (обычно жалоба и тп) в тексте которого есть некая ссылка. Ссылка закодирована якобы антиличем и ссылается на штатный скрипт - /engine/go.php?url=%1D... (к сожалению оригинальный url не сохранился - пока я разбирался с последствиями злоумышленник потер историю сообщений).

2. При переходе по ссылке штатный скрипт /engine/go.php раскодирует следующий javascript код (код на ходу правился для анализа, но вроде я его полностью восстановил в исходный вид):

<code style='display: none;' id='LJKwqoiDHqewE'></code>
<script>
.....
</script>

3. Злоумышленник соответственно создает себе юзера petromadsss с привилегиями Администратора и отправляет себе сигнал о новой жертве. Кстати, ждать он себя не заставил - практически сразу же залогинился в админку и начал править настройки сайта (выявлено по логу последних действий в админпанели).

 

Как дальше собирался воспользоваться хацкер взломанной системой не известно (я заблокировал все сети с которых он входил - вероятно через TOP или подобное, т.к. сетей было около 5, все иностранные хостинги).

deny 185.93.181.0/25;   # M247-LTD-Madrid / ES
deny 217.64.127.0/24;   # M247-LTD-Vienna
deny 37.221.160.0/20;   # RO-VOXILITY
deny 91.229.76.0/22;    # DeltaHost / UA

Также, данный взлом может привести к взлому самого сервера и потере контроля над ним.

 

PS: ни какие файлы движка более не изменялись (проверено вручную через find из консоли и средствами контроля самого движка), данные БД вероятно тоже. Все вышеперечисленные материалы были получены по горячим следам и описаны сразу же, так что извиняюсь за возможные мелкие неточности.

PS2:  по данным Google ящика petromadsss@gmail.com не существует.