کارشناسان سیمانتک موفق شدند یک Back Door جدید که از نوع کرم اینترنتی است کشف بکنند. هدف این بدافزار سرورهایی است که از آپاچی تامکت استفاده می کنند.

درهای پشتی نوعی از تروجان ها و کرم های اینترنتی اند که به هکر دسترسی اجرای فرمان در سیستم قربانی رو می دن. این شکلی هکر می تونه اطلاعات سیستم آلوده شده رو بدزده و یا با دردست گرفتن کنترلش به سیستم های دیگه حمله کنه.

بک دورهایی که معمولا توسط هکرها استفاده می شه از PHP استفاده می کنند مثل PHP.Backdoor.Trojan ولی در این روش جدید، هکرها با استفاده از زبان برنامه نویسی JAVA یک تروجان Java.Tomdep اسم گذاری شده رو نوشتن.

روش گسترش Java.Tomdep

این بدافزار به جای ساختن یک صفحه جدید، مثل یک ربات IRC عمل می کنه و با ایجاد ارتباط با یک سرور IRC دستورهای هکر رو دریافت و اجرا می کنه. سیستم آلوده شده به جز دستورهای عادی مثل دانلود، آپلود، ایجاد یک پروسس جدید، آپدیت کردن خودش و غیره، سرورهای دیگه ای که از آپاچی تامکت استفاده می کنن رو پیدا کرده و بدافزار رو بهشون ارسال می کنه. ممکنه که هدف هکر استفاده از سرورهای قربانی برای حمله DDoS باشه.

این بدافزار جاوایی پس از پیدا کردن سرور هدف، سعی می کنه با ترکیبی از نام کاربری و پسوردهای ضعیف، به اون وارد بشه.

یوزرنیم و پسوردهایی که برای نفوذ استفاده می شن

بعد خودش رو به سرور هدف می فرسته.

طبق تحقیقات سیمانتک، سرورهای کنترل کننده و دستور دهنده (C&C) در تایوان و لوکزامبورگ هستند. قربانی های این حمله نیز در کشورهای معدودی قرار دارند.

سرورهای آلوده شده

برای جلوگیری از این حمله نرم افزار سرور و آنتی ویروس خود رو به روز نگهدارید. از پسوردهای پیچیده تر استفاده کنید و کنترل بیشتری روی پورت های باز داشته باشید.

منبع

بعد از هک شدن سرور چه کار می کنید؟ می گردید و فایل های آلوده رو پیدا می کنید؟ تاریخچه تغییرات فایل ها رو چک می کنید و فایل هایی که پس از هک تغییر کردند رو با نسخه مطمئن جایگزین می کنید؟ بک آپ آخرین تاریخ مطمئن رو برمی گردونید؟ یا اصلا بی خیال سیستم عامل می شید و از اول نصبش می کنید و سرور رو دوباره کانفیگ می کنید؟

باید بگم که همه کارهای ممکن رو انجام دادید ولی خیالتون راحت نباشه. یک هکر (SpritesMods) که متخصص هک سخت افزاریه نشون داده که حتی با تغییر سیستم عامل هم می تونه سرور رو دوباره هک کنه.

احتمالا تا الان فکر می کردید (مثل من) که هارد درایو یه محل ذخیره سازی دیتاست که سیستم عامل کنترلش می کنه و یه کابل داره و یه سری بلاک روش وجود داره که دیتا روی اونها ذخیره و بعد خونده می شه. ولی همه هارد درایو این نیست. اگه یه هارد رو باز کنید یه کنترل کننده موتور می بیند، یه رم و یه تراشه. این تراشه نکته اصلیه که شامل یک پردازنده است و پردازنده هم یعنی امکان هک. هارد دیسک ها Firmware دارند. یک هکر پس از نفوذ به سرور و گرفتن دسترسی روت (بالاترین دسترسی. ویندوزی ها بهش ادمین می گن) می تونه این firmware رو بخونه، تغییر بده و بازنویسی کنه.

از این به بعد حتی اگر سیستم عامل هم تغییر کنه و همه ضعف های امنیتی برطرف بشه، باز هم هکر می تونه کنترل اون سرور رو به دست بگیره. فرض کنید هکر Firmware رو جوری تغییر داده که در صورت قرار گرفتن یک رشته حروف خاص روی هارد، یک کد خاص اجرا بشه.

فرض کنیم یک وب سرور لینوکسی داریم. هکر یک url خاص که شامل اون رشته باشه رو به سرور درخواست می ده. اون url صفحه خاصی رو باز نمی کنه و در error log سرور هم اون url ثبت می شه. کافیه که هکر پیش از این و در تغییرات firmware مشخص کرده باشه که با ذخیره شدن این رشته بر روی هارد، فایل etc/shadow به مقادیر مشخص شده از طرف هکر بازنویسی بشه. این یعنی تغییر پسورد روت و دسترسی مجدد هکر.

از اینجا به بعد دیگه برمی گرده به توانایی های هکر. ما هم می تونیم مثل هکر ها فکر کنیم و ببینیم با این توانایی چه کارهای دیگه ای می تونیم انجام بدیم.

منبع

دیروز ایمیلی به کاربرهای یک سرویس دهنده وی بی ان رسید با این مضمون که ما به دلایلی مجبوریم کلیه اطلاعات کاربری شما رو در اختیار مقامات امنیتی آمریکا قرار بدیم. سرویس دهنده بلافاصله واکنش نشون داد و گفت که ایمیل تقلبی بوده. ولی چطور یه نفر ایمیل همه کاربرها رو داشته؟

مقصر خود سرویس دهنده است و مشکل امنیتی البته در نرم افزار WHMCS که مورد استفاده سرویس دهنده های میزبانی اینترنت و وی پی اسه برای کنترل کاربرها و سیستم فروش و پشتیبانی و غیره.

هفته گذشته یک مشکل امنیتی در این نرم افزار عمومی شد. مشکل در بخشی از اسکریپت ثبت داده ها بوده که ورودی رو بررسی نمی کرده برای کاراکترهای خاص و دستورات اس کیو ال. بذارید یه نگاهی بهش بندازیم

می بینید که توی این دستور شرطی چک می کنه که آیا ۱۱ کارکاکتر اول ورودی AES_ENCRYPT است یا نه. کافیه اطلاعات ورودی با این String شروع بشه و بقیه اش یه کد باشه برای تزریق، اینجوری اون کد بدون هیچ محدودیتی در دیتابیس اجرا می شه.

بلافاصله بعد از اعلام این نقص، آپدیت برای این نرم افزار اومد که خب فاصله ارائه پچ و آپدیت تا زمان نصبش در همه استفاده کننده ها، به هکرها فرصت می ده که به کارشون برسن.

برای هک کردن ستفاده کننده ها از این نرم افزار کافیه که کاربر سایت باشید و از طریق هر صفحه ای که تغییری در دیتابیس می ده، کد خودتون رو اجرا کنید. طی بررسی هایی که انجام شده یکی از روش های انجام این هک استفاده از فرم ثبت نامه. می دونیم که با فرم ثبت نام ما یه سری ورودی رو به سمت دیتابیس می فرستیم.

یک گروه امنیتی با ایجاد یک هانی پات* تونسته یکی از روش های مورد استفاده هکرها رو به دست بیاره. بذارید کدها رو ببینیم

در خط اول می بینیم که هکر به جای firstname یک کد رو به دیتابیس تزریق کرده که بتونه باهاش نام کاربری، ایمیل و پسورد هش شده موجود در جدول tbladmins رو به دست بیاره. همونجور که از اسمش می تونید حدس بزنید، این جدول حاوی اطلاعات کاربری ادمین هاست.

چه باید کارد:

اگر سرویس دهنده اید سریعا WHMCS رو آپدیت کنید و اگر کاربرید از سرویس دهنده بخواید که این کار رو بکنه چون اطلاعاتتون در خطره.

همچنین Cloudflare که محصولاتی برای بالا بردن امنیت سرورها داره در Web Application Firewall (WAF) تمهیداتی در نظر گرفته برای جلوگیری از این حمله حتی اگر WHMCS به روز نشده باشه که می تونید از سایت خودشون اطلاعات کامل رو بخونید.

منبع و منبع و منبع و منبع