Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

PHP.net incidens

2013.10.25. 21:34 | buherator | 5 komment

Aki nem homokba dugott fejjel vészelte át az elmúlt néhány napot, az biztosan értesült róla, hogy a Google feketelistázta a PHP.net-et, a figyelmeztetésről pedig hamar kiderült, hogy nem hamis pozitív: jelenleg annyit lehet tudni, hogy a támadók komprommitálták a www.php.net, static.php.net és git.php.net kiszolgálókat, valamint a projekt bugtrackerét, de az üzemeltetők egyelőre nem tudták megmondani, hogy milyen módon kerülhetett sor minderre. 

Tekintettel arra, hogy a támadók hozzáférhettek a PHP Git tárolójához illetve a weboldalról letölthető kiadásokhoz is, a károk viszonyleg mérsékeltek: úgy tűnik a szoftverbe nem telepítettek hátsó kaput (bár az MD5 hash-ek ellenőrzése 2013-ben nem éppen bombabiztos megoldás [thx Áron]), "csak" malware-t hosztoltak a webkiszolgálón, illetve hozzáférhettek a php.net privát SSL kulcsához, így a tanúsítványt vissza kellett vonni. 

A malware-el kapcsolatban bitvadászoknak érdemes elkérniük a Barracuda által rögzített PCAP-t, a többieknek a releváns infó annyi, hogy néhány rosszindulatú JavaScript először megnézte, hogy a látogató futtat-e valamilyen sérülékeny böngésző plugint (Java, Adobe Reader, Flash, VLC, Silverlight), majd a megfelelő exploit segítségével teleszórta az áldozat gépét bankos trójaiakkal meg ransomware-el. Ha a célpont nem volt sérülékeny, a szkript a következő YouTube videót tartalmazó oldalt töltötte be:

(Egy másik jóféle elemzés az AlienVaultnál olvasható.)

A jelek szerint tehát egy "sima" malware kampánnyal van dolgunk, de nem jó belegondolni, hogy egy célzottabb támadó mekkora károkat lett volna képes okozni, ha nem teszi meg azt a szívességet, hogy beletolja a Zeust a Google robotok arcába. 

A kárfelmérés, és az infrastruktúra helyreállítása még tart, de amíg nem derül fény arra, hogy hogyan is sikerült a támadóknak átvennie az irányítást a PHP.net kiszolgálói felett, a magam részéről fenntartásokkal kezelem a domaint.

Címkék: php incidens malware php.net

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

fodor balazs 2013.10.27. 12:45:20

A tükrök is fertőzöttek lehettek, vagy azok megmenekültek ettől? Plö hu.php.net?

Gyuszk 2013.12.17. 10:02:12

Srácok! Kicsit el kéne hessegetni a ködöt a cikkről!
"Tekintettel arra, hogy a támadók hozzáférhettek a PHP Git tárolójához illetve a weboldalról letölthető kiadásokhoz is, a károk viszonyleg mérsékeltek: úgy tűnik a szoftverbe nem telepítettek hátsó kaput (bár az MD5 hash-ek ellenőrzése 2013-ben nem éppen bombabiztos megoldás [thx Áron])"
Tegyük itt rendbe a dolgokat: az MD5 hash-ek a terjesztésre került archívumok integritásának ellenőrzésére valók. A git tárolót egy teljesen külön mondatba kellene rakni. A git objektumokat SHA-1 hash-ekkel azonosítják és eléggé nehezen képzelhető el egy git tároló oly módú kompromittálása hogy azt ne lehetne könnyen ellenőrizni. A gitben minden commit megváltoztathatatlan, immutable, ha valami ahhoz hasonlót művelsz akkor új commit fog keletkezni, másfajta SHA-1 értékkel (míg a régi is megmarad, és előszedhető).
Üdv

buherator · http://buhera.blog.hu 2013.12.17. 10:24:32

@Gyuszk: A blog olvasóiról alapállásban feltételezem, hogy legalább nagy vonalakban képben vannak Git-tel (különben egy-egy poszt nagyobbik részét kénytelen lennék az elosztott verziókezelés szépségeinek szentelni). A linkelt oldalakon egyértelműen le van írva, hogy a repo ill. az archívumok közül melyikre vonatkozik az MD5. A kifogásolt mondat célja elmondani, hogy nem kell backdoortól tartani, a módszertani problémára zárójelben térek ki.