على غرار الطريقة المعروفة والتي تسمى بحقن الأكواد (Code Injection) والتي كانت بداياتها تعتمد على حقن بعض المواد الاعلانية فى المواقع المجانية  بأكواد HTML/JAVASCRIPT الى أن تم استعمال هذه الطريقة في هجوم خاص بها و هو ما يعرف Gumblar Attack.

ما سنتطرق اليه اليوم فهو عبارة عن قفزة نوعية والذهاب الى ما هو أبعد ,فسنتكلم اليوم عن هجمات  Martuz  والتي تعتبر تكملة وتطورا نوعيا للهجمات المذكورة انفا .

في هذا النوع من الهجمات يتم حقن أكواد JAVASCRIPT بالاضافة الى  SERVER SIDE SCRIPT  ومن أشهرها  حقن أكواد البي أتش بي  (PHP Script Injection) لتحقيق اهداف معينة, حيث يقوم المهاجم باستغلال الثغرات التي تظهر في برامج التصفح على سبيل المثال لا الحصر CVE-2010-0249 وهي ثغرة معروفة في متصفح الويندوز تمكن مستغلها من فرض سيطرته على حاسب الضحية كتنزيل  Trojan.

بعد أن يتم تنزيل الدودة أو التروجان (Gumblar/Martuz Worm) على الجهاز الهدف يبدأ هذا الأخير بالبحث عن حسابات الاف تي بي (FTP credentials) المخزنة مثلا في حاسب الضحية وفي حالة اذا ما كانت مشفرة بشكل جيد يقوم  بالتنصت على أي محاولة لتسجيل الدخول , بعد أن يحصل على بيانات  FTP يقوم هذا الأخير بالولوج أويوماتكيا الى مزود الخدمة ويقوم  برفع ملفات بي أتش بي من أهمها image.php و gifimg.php والتي نجدها في مجلدات متداولة مثل … IMAGES.

قد نتسائل عن السبب وما الغرض من هذا الهجوم  العشوائي ؟!
بكل بساطة فان معلومات خوادم الأف تي بي المسروقة قد تم ارسالها الى المهاجم وقد تكون من بينها حسابات لشركات معروفة وبنوك … الخ و هذا هو ما يهم المهاجمين.
و حتى لو قام الهدف بتغيير كلمة السر أو ماشابه فان المهاجم تبقى عنده امكانية الولوج مرة أخرى الى الخادم عن طريق ملفي : gifimg.php  أو image.php  وهما عبارة عن بي أتش بي باك دوور (PHP Backdoor).

كيفية اكتشاف هذا الهجوم :

لم يفكر مطور هذا الهجوم في جعل ملفات الباك دوود مخفية عن أعين محركات البحث كاستعمال الميتا مثلا:

أو استخدام الكود التالي في ملف الروبوت  Robot.txt مثلا:

Disallow: /images/gifimg.php

لذلك فباستعمال Google اذا بحثنا عن :

inurl:”gifimg.php” intext:”404 Not Found”

أو ببساطة :

inurl:”gifimg.php”

نجد:

 

وهذا مثال أيضا على ملف الباك دوور :

ما الذي يحتويه الملف الضار ؟
ندع الكود يعبر عن نفسه :

طرق الحماية من Gumblar Attacks:

  1. تحديث Anti-Virus/Anti-Malware.
  2. تغيير كلمة السر سواء لل FTP  أو للموقع ككل.
  3. تنظيف الموقع من الملفات الضارة سواء بالبحث بأسماء الملفات مثل gifimg.php أو image.php. قد قمت بارفاق ملف شل يقوم بتنظيق السرفر (cleaner.sh) .
  4. عمل حسابات FTP  تكون صلاحياتها فقط للأماكن العامة (IMGAES/PICTURES) و كذا اعطاء خاصية (CHMOD 755) لمجلد الصور على سبيل المثال بحث اذا قدر الله ورفعت الملفات الضارة الى موقعك فان المهاجم لن يتمكن من الولوج الى باقي الموقع.
  5. تعطيل البي اتش بي في الأماكن التي أدعوها بالعامة:
  • كمجلدات الصور والملفات الغير قابلة للتنفيذ مثل : images / img / pictures …
  • وايضا في مجلدات رفع الملفات : upload / up / uploads …

عن طريق  .htaccess في المجلد المراد حمايته  :

RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3
php_flag engine off

الملفات المرفقة: Cleaner.sh

 

عن الكاتب:


محمد الأمين شموري , مهندس اللكترونيات واتصالات , هاوي برمجة وأمن المعلومات بشكل عام(Penetration Tester Pro).

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn