Возможная уязвимость в instantcms

#1 17 сентября 2011 в 20:10
У меня сайт на instantcms + instantmaps. Недавно пришло гневное письмо от хостера о вредоносных скриптах на моем сайте (под спойлером)Техподдержка говорит что возможно причина из-за дыры в CMS. Может разработчикам ИНСТАНТА будет интересно?

Под спойлером перевод с украинского

Вам выдвигается предупреждение, так как ваш сайт пришла жалоба, о размещении фишинг контента на нем. Речь идет о ссылке МОЙ САЙТ/chase.com/login.php
Мы удалили фишинг с сервера, т.е. следующие файлы и каталоги

drwxr-xr-x 4 4096 Sep 13 15:55 chase.com/

drwxr-xr-x 2 4096 Sep 13 15:24 cgi-bin/
-rw-r--r-- 1 29463 Sep 13 15:34 details.php
-rw-r--r-- 1 47070 Sep 14 11:08 error_log
-rw-r--r-- 1 15153 Sep 13 15:34 error.php
-rw-r--r-- 1 258 Sep 13 15:34 Finish.php
drwxr-xr-x 2 4096 Sep 13 15:36 images/
-rw-r--r-- 1 88 Sep 13 15:36 index.php
-rw-r--r-- 1 18418 Sep 13 15:36 login.php
-rw-r--r-- 1 5537 Sep 13 15:36 Logon.php
-rw-r--r-- 1 1438 Sep 13 15:36 mil75.php

Загрузка фишинг файлов было осуществлено через ФТП доступ МОЙ ЛОГИН@41.210.30.17
Ниже приведена вырезка из журнала доступа к сайту:
Sep 13 15:34:30 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/45948_billpay_home_155x90.gif uploaded (7388 bytes, 9.02KB/sec)
Sep 13 15:34:30 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/Finish.php uploaded (258 bytes, 1.01KB/sec)
Sep 13 15:34:32 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/alert.gif uploaded (433 bytes, 1.39KB/sec)
Sep 13 15:34:33 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_black_rt.gif uploaded (59 bytes, 0.12KB/sec)
Sep 13 15:34:34 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_blue_rt-short.gif uploaded (62 bytes, 0.25KB/sec)
Sep 13 15:34:36 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_blue_rt.gif uploaded (59 bytes, 0.25KB/sec)
Sep 13 15:34:36 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_dblue_on_white.gif uploaded (71 bytes, 0.32KB/sec)
Sep 13 15:34:38 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_green_rt.gif uploaded (58 bytes, 0.14KB/sec)
Sep 13 15:34:38 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_outlined-short.gif uploaded (152 bytes, 0.47KB/sec)
Sep 13 15:34:40 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_outlined.gif uploaded (145 bytes, 0.63KB/sec)
Sep 13 15:34:42 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/arrow_outlined_green.gif uploaded (181 bytes, 0.45KB/sec)
Sep 13 15:34:42 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/error.php uploaded (15153 bytes, 11.75KB/sec)
Sep 13 15:34:45 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/images/bk-dash.gif uploaded (53 bytes, 0.13KB/sec)
Sep 13 15:34:47 xm24 pure-ftpd: (МОЙ ЛОГИН@41.210.30.17) [NOTICE] /home/МОЙ ЛОГИН//www/chase.com/details.php uploaded (29463 bytes, 10.71KB/sec)
.........
===========================================================================================================================

Мы заблокировали доступ из сети 41.210.0.0/16 к нашему серверу.

Текст жалобы:
"Уважаемые господа:



Компания "RSA " работает в сфере борьбы с мошенничеством и обеспечения безопасности. Нами заключен договор с компанией JPMorgan Chase и связанными с ней юридическими лицами об оказании помощи по предотвращению или прекращению онлайновой деятельности, направленной против клиентов JPMorgan Chase's Bank как потенциальных жертв мошенничества. Компании RSA стало известно, что вы предоставляете интернет-услуги мошеннической страничке, которая является частью жульнической системы типа "фишинг"**. Эта деятельность нарушает авторские права, товарные знаки и иные права интеллектуальной собственности JPMorgan Chase's Bank и может нарушать уголовное законодательство Соединенных Штатов и других стран.



Некое физическое или юридическое лицо широко рассылает различным пользователям сообщения электронной почты, которые выглядят как отправленные JPMorgan Chase. Эти сообщения используют имя и идентификационные признаки (включая товарные знаки) компании JPMorgan Chase's Bank без ее разрешения. В тексте сообщений получателям предлагается проверить и передать уязвимые данные, связанные с их банковскими счетами в JPMorgan Chase. Эти мошеннические сообщения содержат ссылку, которая приводит пользователей к "фальшивой" страничке в интернете, демонстрирующей защищенные авторскими правами материалы и товарные знаки JPMorgan Chase's Bank. Мошенническая страничка размещена по следующему адресу URL: МОЙ САЙТ/chase.com/login.php, по которому вы, по всей видимости, предоставляете услуги и который, очевидно, находится под вашим контролем.



Мошенническая страничка не только представляет собой ненадлежащее использование интеллектуальной собственности JPMorgan Chase's Bank; ее целью является получение персональной информации клиентов JPMorgan Chase обманным путем с целью мошеннического доступа к их банковским счетам. Лица, скрывающиеся за такими интернет-страничками, обычно связаны с деятельностью по краже личных данных, в частности, с использованием кредитных карточек или банковских счетов клиента без его разрешения. Более того, поскольку абсолютное большинство таких сообщений электронной почты отправляется вовсе не в адрес фактических клиентов JPMorgan Chase, такие действия могут нанести ущерб репутации и имиджу компании.



Если вы действительно предоставляете услуги упомянутой выше интернет-страничке, и если она действительно находится под вашим контролем, о чем свидетельствуют полученные нами данные, просим вас принять все необходимые меры для немедленного прекращения работы фальшивой интернет-странички, перекрытия ее доступа к интернету и прекращения отправки любых сообщений электронной почты, связанных с упомянутой интернет-страничкой.



Мы понимаем, что вы могли не знать о подобном незаконном использовании ваших услуг, и высоко ценим ваше сотрудничество. Мы также просим вас предпринять следующие действия:

Просим предоставить нам файл типа tar/zip, который содержит исходный код этой странички. Это даст нам возможность проанализировать его с целью предотвращения подобных атак в будущем.

Если ваша система или оборудование зафиксировали и хранят любые данные о клиентах, то мы также просим отправить их нам. Это позволит известить клиентов, к которым относятся эти данные, и предпринять меры для защиты их счетов.

Мы просим также предоставить копии любых имеющихся у вас записей, которые содержат имя, контактную информацию, метод платежа или любые иные подобные сведения. Эти сведения могли бы помочь нам определить личность и местонахождение клиента, в интересах которого функционировала такая интернет-страничка.

Благодарим вас за сотрудничество, направленное на предотвращение и прекращение подобной мошеннической деятельности.



Искренне ваши

RSA Anti Fraud Command Center (Центр по борьбе с мошенничеством)

Тел: +44 (0)800-032-7751 (Великобритания)

Тел: +1-866-408-7525 (США)

Тел: +353-21-4946601

ЕС Факс: +353 214 938 300

США Факс: +1-212-208-4644

Электронная почта: afcc@rsasecurity.com

www.rsa.com

For more information about RSA's AFCC www.rsa.com/node.aspx?id=3348


#2 17 сентября 2011 в 20:50

Загрузка фишинг файлов было осуществлено через ФТП


точно. это инстант виноват, смотрел порнуху и поймал трояна который пароли утащил от фтп. которые небось в файлменеджере были вбиты и сохранены чтобы каждый раз пароль не вводить. угадал?
#3 17 сентября 2011 в 21:41

Может разработчикам ИНСТАНТА будет интересно?

Yobi
неинтересно, потому, что

Загрузка фишинг файлов было осуществлено через ФТП

Yobi

Техподдержка говорит что возможно причина из-за дыры в CMS

Yobi
Вы сами читали что писали?
#4 18 сентября 2011 в 11:08

точно. это инстант виноват

picaboo
мдя, надо шота с этим делать...
такой вот Finish.php

ЗЫ.
Ресторан построили, Старт названье дали.
Рядом вытрезвитель, Финишем назвали…
#5 18 сентября 2011 в 11:38

мдя, надо шота с этим делать

Очень Серый Зю..
F8->YES joke
#6 18 сентября 2011 в 12:10

F8->YES

Fuze
Ctrl+A+F8->YES, прям от корня, верняк. ;))
#7 20 сентября 2011 в 20:20
Все глумитесь)) Не в инстанте дело, значит все замечательно. Пароли поменял и дальше рубить сетевую капусту v
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.