Backdoor az e107 tartalomkezelőben

Cracker, Black Hat

A bugtraq egyik levele szerint az e107 névre hallgató tartalomkezelő rendszer legújabb, 0.7.17-es verziója PHP backdoor-t tartalmaz. Érdemes figyelni erre. Az e107 weboldalát - feltehetően a backdoor-t felhasználva - szétütötték a spammerek.

( kr304 | 2010. 01. 26., k – 09:03 )

Azt persze nem írja a honlap, h feledékenységből maradt benne egy teszteléshez betett részlet, vagy már valaki bejutott a verziókövető repóba. Legalábbis címlapon, fórumokat nem néztem. Azt fel se tételezem, h szándékos.
Bizalomgerjesztő...

megnéztem, nem értem miért nem érted.
elképzelhető, h vki hasonlót tesz be, ./configure --enable-debug --enable-JOZSI-debug szinten, hogy mellőzze az autentikációt, ami lehet néha hasznos is. konkrétan én a betett kódnak nem látom az ilyenfajta hasznát, de attól még lehet h van aki igen.

Ez egy PHP script. ./configure nem játszik (viszonylag kevés PHP-s rendszer van, amit parancssorból, és szerintem kb. 0 van, amit ./configure -val kell konfigolni).

Ez egy olyan PHP script, amely webes felületre készül. Webes felületen SE a PHP kód injektálását nem szeressük, a shell execet meg végképp nem.

Mégis milyen szituáció teszi egy minimálisan is indokoltnak a fenti kódrészletet? Ez egy backdoor, nincs mit rajta túlragozni.

----------------
Lvl86 Troll

CVS-ben nyoma sincs a hivatkozott kódrészletnek. (exploit1) Mivel feltételezem hogy a saját oldalukat befoltozták így csak egy exploit2 útján cserélhette le a hivatkozott zip fájlt valaki, ami pont az exploit3-ra adott security update közzétételére lett időzítve :)
Lehet hogy túl sok exploitot találtak meg a devek és valaki kétségbeesetten az utolsó pillanatban megpróbált még egyet becsempészni a package-be :) YEAH

http://e107.org/comment.php?comment.news.857 Csak lusták voltak, illetve lassúak a saját oldal patchelésével. Valaki egy utolsó de emlékezetes kihasználásával az exploitnak lecserélte a hivatkozott full install zip csomagot és elhelyezte a backdoort. Az upgrade csomag vagy a cvs nem volt érintett a backdoorral. Úgy tűnik, hogy a devek csak a cvs-sel vannak elfoglalva...

( zeroms | 2010. 01. 26., k – 09:30 )

Funny: 

if(md5($_COOKIE['access-admin']) == "cf1afec15669cb96f09befb7d70f8bcb") {

( csorfab | 2010. 01. 27., sze – 10:37 )

Ki használ e107-et, és miért tenne ilyet? És mit keres ez a HUP-on? Legközelebb a PHPNuke-ról fogunk hírt kapni? :)

---
http://xkcd.com/258/

Apple MacBook Pro 13"
C2D 2.26GHz/3MB | 4GB@1067MHz | 160GB@5400rpm SATAII

( Skuzzy | 2010. 08. 09., h – 14:05 )

Aki vagy akinek ugyfele hasznal ilyet, nezzen ra, mert sorra torik oket megint, ha nem a legfrisebb.