«Креативный» бэкдор прячется в GPG-подписи

//09.08.2013 «Креативный» бэкдор прячется в GPG-подписи«Креативный» бэкдор прячется в GPG-подписи

Эстевао Авиллез (Estevao Avillez) из компании Sucuri описал необычный бэкдор, который удалось обнаружить на одном из сайтов под Joomla CMS.

В этой CMS есть файлы LICENSE.php, LICENSES.php и LICENSE.txt с текстом лицензионного соглашения и кодом для проверки лицензии. Так вот, на зараженном сайте был обнаружен файл LICESNE.php. Хотя на первый взгляд он ничем не отличается от обычного LICENSE.php, содержит стандартные условия GPLv3 и подпись GNUPG (GPG), но в реальности представляет собой полноценный бэкдор.

Если злоумышленник набирал адрес www.site.com/LICESNE.php, то появлялась форма для ввода пароля, а после успешной аутентификации — панель управления. Это типичная функциональность бэкдора Filesman.

Интересно то, каким образом код бэкдора спрятан в файле LICESNE.php. Файл содержит код якобы для проверки лицензии, даже с текстом “License not valid!” в пятой строчке.

«Креативный» бэкдор прячется в GPG-подписи

Но после декодирования открывается истинное предназначение кода.

«Креативный» бэкдор прячется в GPG-подписи

Как видим, там есть функция eval ( gzinflate ( base64_decode, которая запускает на исполнение содержимое секции PGP Public Key Block.

«Креативный» бэкдор прячется в GPG-подписи

Естественно, секция PGP Public Key Block не содержит валидного ключа PGP/GPG, а содержит совсем иное. Что ж, автору бэкдора Filesman не откажешь в креативности.

бекдор


Следующие статьи
Предыдущие статьи

КомментарииUserГость
09.08.2013 6:00:57
Ответить

Подробнее: http://www.xakep.ru/post/61053/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

«Креативный» бэкдор прячется в GPG-подписи | | 2013-08-09 05:21:00 | | Статьи об Интернет безопасности | | //09.08.2013 Эстевао Авиллез (Estevao Avillez) из компании Sucuri описал необычный бэкдор, который удалось обнаружить на одном из сайтов под Joomla CMS.В этой CMS есть файлы LICENSE.php, LICENSES.php | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: