Włamania na serwerze przez dziurawy skrypt OpenFlashChart

Od kilku dni obserwujemy wzmożony ruch skanów naszych serwer przez automaty  próbujące się włamywać na konta hostingowe.

Po ostatnim dużym skanie w niedzielę 9 czerwca 2013, włamanie powiodło się na kilku kontach naszych Klientów. Po analizie odkryliśmy, że konta miały zainstalowaną bibliotekę OpenFlashChart w wersji 1.x, która ma błąd, pozwalający na zdalny upload plików na serwer.

Błąd polega na tym, że podczas uploadu plików przez skrypt nie jest sprawdzany typ plików, zatem zamiast grafik (do czego służy ten skrypt) mogą zostać wgrane też pliki wykonywalne.

Uploadowane pliki, które analizowaliśmy skanują konto w poszukiwaniu plików konfiguracyjnych popularnych usług typu Joomla, WordPress itp.

Po przeskanowaniu całego serwera pod kątem tej „dziurawej” biblioteki wykryliśmy, że jest ona zainstalowana na wielu kontach, z czego nie do końca mieli świadomość autorzy stron – po prostu biblioteka była zainstalowana przy okazji instalacji innych komponentów.

Przykładowa lokalizacja tego „dziurawego” pliku zainstalowanego jako komponent Joomli:

public_html/administrator/components/com_jinc/classes/graphics/php-ofc-library/ofc_upload_image.php

Jako część składowa popularnego skryptu OpenX:

public_html/openx/www/admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php

Jeżeli funkcjonalność nie jest wykorzystywana, najprostszym rozwiązaniem pozwalającym zabezpieczyć swoją stronę www, jest usunięcie tego pliku.

Udostępnij!

Dodaj komentarz