Od kilku dni obserwujemy wzmożony ruch skanów naszych serwer przez automaty próbujące się włamywać na konta hostingowe.
Po ostatnim dużym skanie w niedzielę 9 czerwca 2013, włamanie powiodło się na kilku kontach naszych Klientów. Po analizie odkryliśmy, że konta miały zainstalowaną bibliotekę OpenFlashChart w wersji 1.x, która ma błąd, pozwalający na zdalny upload plików na serwer.
Błąd polega na tym, że podczas uploadu plików przez skrypt nie jest sprawdzany typ plików, zatem zamiast grafik (do czego służy ten skrypt) mogą zostać wgrane też pliki wykonywalne.
Uploadowane pliki, które analizowaliśmy skanują konto w poszukiwaniu plików konfiguracyjnych popularnych usług typu Joomla, WordPress itp.
Po przeskanowaniu całego serwera pod kątem tej „dziurawej” biblioteki wykryliśmy, że jest ona zainstalowana na wielu kontach, z czego nie do końca mieli świadomość autorzy stron – po prostu biblioteka była zainstalowana przy okazji instalacji innych komponentów.
Przykładowa lokalizacja tego „dziurawego” pliku zainstalowanego jako komponent Joomli:
public_html/administrator/components/com_jinc/classes/graphics/php-ofc-library/ofc_upload_image.php
Jako część składowa popularnego skryptu OpenX:
public_html/openx/www/admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php
Jeżeli funkcjonalność nie jest wykorzystywana, najprostszym rozwiązaniem pozwalającym zabezpieczyć swoją stronę www, jest usunięcie tego pliku.
- Dlaczego warto używać systemu LSCache? - 15 lipca, 2021
- Wielka awaria usług Google oraz występujące problemy z pobieraniem poczty do Gmail - 17 lutego, 2021
- Jak aktywować redisa na serwerze Smarthost? - 21 maja, 2020