WAŻNE - Włamanie na forum 14.08.2011r.

[mario_7]

W dniu 14 sierpnia 2011 roku miało miejsce włamanie na serwer forum - cracker wykorzystał lukę w konfiguracji serwera dzięki czemu uzyskał dostęp do plików oraz bazy danych forum. Nie jesteśmy w stanie stwierdzić jakie informacje zostały z bazy wykradzione - należy zatem przyjąć najgorszy wariant, że zostały pobrane adresy e-mail, sygnatury haseł oraz ew. inne dane użytkowników.

Hasła w bazie oczywiście nie są przechowywane w postaci czystego tekstu, wszystkie są zakodowane funkcją phpbb_hash (która działa w sposób niemal identyczny, jak biblioteka phpass) - ich odzyskanie z zaszyfrowanej formy jest prawie niemożliwe. Mimo wszystko zalecamy każdemu zmianę hasła na nowe oraz jeśli hasło z forum było wykorzystywane w innych serwisach - dokonanie stosownych zmian również na nich.

Jak to się stało i jaka luka została wykorzystana?

W skrócie:
Cracker zarejestrował się na forum i jako awatar wgrał spreparowany plik PNG, do którego doklejony był skrypt PHP. Analizując działanie skryptu phpBB zlokalizował plik obrazka na serwerze i wykorzystał lukę, która pozwoliła wykonać dołączony do niego kod. Zainfekowany plik umożliwił wgranie skryptu PHP typu web shell - panelu administracyjnego, który w formie strony www daje szeroko pojęty dostęp do serwera - w tym do plików i do bazy danych. Skasowane lub podmienione zostały pliki na stronie ubuntu.pl oraz na forum. W bazie forum zostały wprowadzone zmiany m.in. do każdego profilu w polu "strona www" został wpisany adres bloga crackera. Konfiguracja serwera nie pozwoliła na działania poza vhostem. Przywróciliśmy stan plików i bazy danych na dzień 14.08.2011 z godzin porannych. Konfiguracja serwera została poprawiona, istotne hasła zmienione.

Dokładniej:
Plik PNG był autentycznym obrazkiem (dla ciekawych - niewielka ikona z niebieskim zegarkiem) z doklejonym na końcu kodem PHP, który wyświetlał formularz wgrywania plików i obsługiwał to zadanie. W teorii jedynie pliki z rozszerzeniem .php są dopuszczane przez serwer do wykonywania, jednak w przypadku dość powszechnie stosowanej podstawowej konfiguracji serwera nginx (która generalnie nie jest błędna, ale jak się okazuje pozwala na nadużycie niektórych funkcji) możliwe jest przesłanie dowolnego pliku do parsera PHP.
Chodzi dokładnie o przypadek opisany na tym blogu: https://nealpoole.com/blog/2011/04/sett ... iguration/
Przy wadliwej konfiguracji każdy adres, który kończy się na .php zostanie przesłany do parsera PHP bez weryfikacji, czy dotyczy to autentycznego pliku PHP. Np. strona.com/obrazek.png/.php nie spowoduje wyświetlenia błędu 404 (co wydawałoby się racjonalne, bo adres taki nie istnieje), wadliwe interpretowanie ścieżki spowoduje przesłanie zawartości pliku PNG do parsera PHP - w przypadku zainfekowanego pliku oznacza to, że zostanie wykonany złośliwy kod. Aby uniknąć zagrożenia należy sprawdzać, czy odwołanie dotyczy istniejącego pliku. Wszystkie techniczne aspekty tego zagadnienia wyjaśnione są na wspomnianej wyżej stronie.
Każdemu administratorowi serwerów z nginxem zalecamy dokładne zapoznanie się z podanym artykułem.
Skrypt, którym posiłkował się cracker, to WSO - Web Shell by Orb - niewielki plik PHP, który w formie strony www daje dostęp do czegoś w rodzaju FTP, konsoli systemowej, konsoli MySQL, przeglądu konfiguracji serwera itp. Działanie tego skryptu było ograniczone przez konfigurację vhosta - nie mógł wydostać się poza jego katalog, nie mógł uruchamiać narzędzi systemowych itp. Niestety dostęp do plików konfiguracyjnych skryptu forum umożliwił połączenie się z bazą danych. Nie możemy stwierdzić jakie operacje zostały wykonane na bazie danych, ani jakie dane zostały wykradzione. Mało prawdopodobne jest, aby cała baza została gdzieś skopiowana, bo nie odnotowaliśmy znacznego obciążenia które z pewnością by temu towarzyszyło. To, że baza była modyfikowana jest pewne, bo został do niej wprowadzony adres bloga włamywacza.

Straty: wszystkie posty, które zostały napisane w dniu 14.08.2011 w godzinach od ok. 4 do ok. 20 (później forum było wyłączone).
W ramach naprawy przywróciliśmy kopię plików i bazy z wczesnych godzin porannych dnia 14.08.2011. Kluczowe hasła zostały zmienione. Nginx został skonfigurowany tak, aby ponowny atak z wykorzystaniem wspomnianej luki nie był możliwy.

Zapis działań włamywacza:
w godzinach 15:15:04 -16:35:04 - pierwsza zanotowana obecność na stronie ubuntu.pl i forum - na razie brak podejrzanych zachowań
16:35:45 -16:36:48 - nieudane próby pobrania plików konfiguracyjnych forum
18:22:05 - rejestracja na forum
18:27:42 - przegląd profili administratorów
18:54:03 - 19:08:22 - nieudane próby odwoływania się do różnych plików na serwerze
19:10:59 - wgranie zainfekowanego awatara
19:12:26 - wgranie skryptu WSO
do 20:14:13 - bliżej nieokreślone działania na ww. skrypcie
w tym momencie zainterweniował administrator i wyłączył forum.

Geolokalizacja IP włamywacza wskazuje na Egipt, przeglądarki z których korzystał identyfikowały się jako Chrome 13.0.782.107 i Firefox 5.0.1, system operacyjny Windows NT 5.1. Trudno stwierdzić wiarygodność tych danych, uwzględniając strony, do których odwoływały się zmodyfikowane materiały wprowadzane na serwer, mogą być prawdziwe.

Przepraszamy za wszelkie niedogodności spowodowane tym incydentem,
administracja Ubuntu.pl