fingerprint match php exploit
WordPress unfamiliar code in root files
Recently one of the WP website files where deleted «CXS scanner » and detected all the files in root folder as
index.php’ Known exploit = [Fingerprint Match] [PHP COOKIE Exploit [P1036]]
When I compared file detected as cookie exploit with the older version, I noticed that there was extra line of code added to the this file:
Older index.php
I am not a PHP developer and on comparing this line of code added to the flagged file:
should it be there or is it a security flaw?
2 Answers 2
It is a backdoor/exploit.
To trigger this exploit you have to send two cookies. One cookie named: user, with the function as your value and the other one name «id» with the parameter you want to call it with.
So user=»exec», will call the exec function with the parameter «ls».
It is a rather nice one. you should remove this line from all your files.
In Addition: you have to find out why it ended in there the first place. There can be other backdoors on this system as well. You should consider this server to be compromised. Hacked systems should be burned down. Then they can rise from the ashes as a beautiful phoenix again (or so). Nevertheless, You should rebuild your system with up-to-date software and data from a backup which is clean and change all passwords.
WordPress незнакомый код в корневых файлах
Недавно один из файлов сайта WP удалил «CXS сканер» и обнаружил все файлы в корневой папке как
index.php’
Known exploit = [Fingerprint Match] [PHP COOKIE Exploit [P1036]]
Когда я сравнил файл, обнаруженный как эксплойт cookie, со старой версией, я заметил, что в этот файл добавлена дополнительная строка кода:
Старшая index.php
Я не являюсь разработчиком PHP, и при сравнении этой строки кода, добавленной во помеченный файл:
это должно быть там или это недостаток безопасности?
Решение
Это бэкдор / эксплойт.
Чтобы вызвать этот эксплойт, вам нужно отправить два куки. Один файл cookie с именем: user, с функцией в качестве вашего значения, а другой с именем «id» с параметром, с которым вы хотите вызвать его.
Поэтому user = «exec», вызовут функцию exec с параметром «ls».
Это довольно хороший … вы должны удалить эту строку из всех ваших файлов.
К тому же: Вы должны выяснить, почему это закончилось там в первую очередь. В этой системе могут быть и другие бэкдоры. Вы должны считать этот сервер скомпрометированным. Взломанные системы должны быть сожжены. Тогда они снова могут восстать из пепла как прекрасный феникс (или около того). Тем не менее, вы должны восстановить свою систему с использованием новейшего программного обеспечения и данных из резервной копии, которая является чистой, и изменить все пароли.
Другие решения
@ Знак используется только для подавления ошибок, и, насколько я вижу, эта дополнительная строка не является уязвимостью.
The Joomla! Forum™
Post by Octron » Tue Feb 17, 2015 3:32 pm
Thanks in advance for the help, any idea would be helpful.
It’s a new website build with Joomla 3.3.6 with the Purity iii theme. All plug-ins and compnents II’m nearly 100% sure were downloaded from the extensions link in Joomla website.
Actions Taken To Resolve by Forum Post Assistant (v1.2.4) 17th February 2015 wrote: I changed FTP password and setup Joomla to 2 way authentication with Google token.
Got 3 notification in total over the last 3 days, file name is not always the same.
Runned Symantec antivirus on my laptop, it found an infection Suspicious.Cloud.2, downlaod all files from the host in the folder for the website, did a scan on them with Symantec and nothing found.
Host Configuration :: OS: Linux | OS Version: 2.6.32-531.17.1.lve1.2.60.el6.x86_64 | Technology: x86_64 | Web Server: LiteSpeed | Encoding: gzip, deflate | Doc Root: /home/raulsaiz/public_html/navamuel | System TMP Writable: Yes
Switch User Environment (Experimental) :: PHP CGI: No | Server SU: No | PHP SU: No | Custom SU (LiteSpeed/Cloud/Grid): No
Potential Ownership Issues: Maybe
Folder Permissions :: wrote: Core Folders :: images/ (755) | components/ (755) | modules/ (755) | plugins/ (755) | language/ (755) | templates/ (755) | cache/ (755) | logs/ (755) | tmp/ (755) | administrator/components/ (755) | administrator/modules/ (755) | administrator/language/ (755) | administrator/templates/ (755) |
Extensions Discovered :: wrote: Components :: SITE :: com_mailto (3.0.0) | com_wrapper (3.0.0) |
Components :: ADMIN :: com_config (3.0.0) | com_categories (3.0.0) | com_installer (3.0.0) | com_messages (3.0.0) | com_finder (3.0.0) | com_contenthistory (3.2.0) | com_admin (3.0.0) | com_ajax (3.2.0) | com_content (3.0.0) | com_modules (3.0.0) | Akeeba (4.1.2) | com_joomlaupdate (3.0.0) | com_languages (3.0.0) | com_xmap (2.3.4) | com_search (3.0.0) | com_postinstall (3.2.0) | com_newsfeeds (3.0.0) | com_checkin (3.0.0) | com_media (3.0.0) | com_templates (3.0.0) | com_login (3.0.0) | com_jaextmanager (2.5.3) | com_jaextmanager (2.5.9) | com_plugins (3.0.0) | com_menus (3.0.0) | com_cache (3.0.0) | com_redirect (3.0.0) | com_tags (3.1.0) | com_weblinks (3.0.0) | jSecure Lite (1.0) | com_cpanel (3.0.0) | com_banners (3.0.0) | com_users (3.0.0) |
Modules :: SITE :: mod_related_items (3.0.0) | mod_custom (3.0.0) | mod_weblinks (3.0.0) | MOD_OSDONATE (1.1.5) | mod_syndicate (3.0.0) | mod_banners (3.0.0) | mod_articles_categories (3.0.0) | mod_articles_news (3.0.0) | mod_users_latest (3.0.0) | mod_articles_archive (3.0.0) | mod_articles_latest (3.0.0) | mod_wrapper (3.0.0) | mod_login (3.0.0) | joombig video slider vertical (1.1) | mod_footer (3.0.0) | mod_menu (3.0.0) | mod_languages (3.0.0) | mod_stats (3.0.0) | mod_random_image (3.0.0) | mod_tags_popular (3.1.0) | Flexi Custom Code (2.1) | mod_feed (3.0.0) | mod_finder (3.0.0) | mod_whosonline (3.0.0) | mod_breadcrumbs (3.0.0) | Responsive Contact Form (3.0) | mod_articles_category (3.0.0) | Simple File Upload v1.3 (for J (1.3) | mod_tags_similar (3.1.0) | mod_articles_popular (3.0.0) | mod_search (3.0.0) | MOD_FUOFB_XML_TITLE (1.4.2) | gallery phocabar list (1.1) |
Modules :: ADMIN :: mod_custom (3.0.0) | mod_title (3.0.0) | mod_submenu (3.0.0) | mod_quickicon (3.0.0) | mod_login (3.0.0) | mod_popular (3.0.0) | mod_latest (3.0.0) | mod_menu (3.0.0) | mod_feed (3.0.0) | mod_version (3.0.0) | mod_logged (3.0.0) | mod_status (3.0.0) | mod_toolbar (3.0.0) | mod_multilangstatus (3.0.0) | mod_stats_admin (3.0.0) |
How to Generate Browser Fingerprints in PHP
Almost every web developer has to combat fraud at some point. Attacks might include malicious users trying to brute force passwords, place fraudulent orders, initiate bot attacks, or bypass your site’s paywall.
Traditional methods of tracking users in PHP often fall short when trying to prevent fraud. This is where browser fingerprinting comes in. Fingerprinting is a technique that generates a highly accurate identifier that can uniquely identify someone based on their browser and device settings.
Why Browser Fingerprinting?
Browser fingerprinting has a number of useful applications — from helping block malicious users to fighting bank fraud:
Browser Fingerprinting in PHP
Suppose you are running a streaming site that offers a 14-day free trial to new users. This might be a nice way to let people try your service before they buy, but a malicious user can repeatedly register with different email addresses to take advantage of your trial offer.
Unfortunately, PHP is exclusively a server-side programming language, so you can’t implement browser fingerprinting in PHP alone. But, by implementing FingerprintJS on your frontend, you can easily add fingerprinting to prevent the same user from registering in your application with multiple email addresses.
In this tutorial, I’ll show you how to use FingerprintJS to generate browser fingerprints for your PHP application. I’ll contrast fingerprinting with several traditional PHP-only ways to track users (session tracking, HTTP cookies, and IP address tracking) so you understand why fingerprinting is a more reliable solution in most use cases.
Project Setup
Once you have the dependencies ready, create a file called register.php :
Sign Up
Please fill this form to create an account.
Залили шелл на сайт
Автор: sairon,
27 ноября 2018 в Сайтостроительство
Рекомендованные сообщения
sairon 386
sairon
Залили шелл на сайт в корень, в wp-content, wp-content/uploads и еще хз куда.
Known exploit = Fingerprint Match PHP Shell Exploit P1517
Known exploit = Fingerprint Match PHP REQUEST Exploit
называется как-то так up.php, wp-up.php и схожие названия.
Вопрос в следующем, как обезопасить в дальнейшем себя от залива подобного?
Я-то сейчас сайт восстановлю из бекапа, но как обезопасить себя в будущем?
Ссылка на сообщение
Поделиться на других сайтах
diplomdistant 640
diplomdistant
seo-zona.ru Вячеславу заплатить копейку и он сделает всё в лучшем виде + проконсультирует
Ссылка на сообщение
Поделиться на других сайтах
files 2,829
files
Как вариант: откатитесь и обновите ядро WP и все плагины. Должно помочь. Если сайт содержит собственноручные плагины и коды, их модификации, нужно ставить некоторые защиты. Например:
В файле functions.php текущей темы (вырезаем ненужное из ядра и прячем конфиденциальную инфо)