воскресенье, 11 июля 2010 г.

Casper bot search

Недавно писал про сабжевую заразу.
Как и в рассказе уважаемого cppmm, подложили заразу через дырявую e107.
Поймали юзера, у которого была дыра, при помощи подмены wget'а на скрипт, пишущий все переменные в лог. Там и нашли, из какого хомяка эта дрянь пыталась себя скачать.
Причём юзер знал, что его ломали и не удосужился никаких мер принять.
Почитал про саму e107 - это ппц, а не cms. Пример - найдена уязвимость, разработчики выкладывают патченную версию с прикрытой дырой, но почему-то не закрыли дыру на своём офсайте. Результат - сайт вскрыли, подменили линк на дистрибутив цмски, в результате много юзеров скачали себе модифицированную e107 с бекдорами.
Мораль - не надо ставить e107, это плохая вещь.

Почитав про Casper, сложилось впечатление, что атакеут он все cms, но лучше всего ломается e107, особенно через contact.php.
Алсо, дырявость, юзаемая каспером, вроде как в версии e107 0.7.17, обновление до 0.7.22 помогает.
На всякий случай, скачал архив с каспером, может, поразбираю на досуге.

1 комментарий:

BMX комментирует...

hi, how are you?
do you like riding a bike?