В поставке OpenX (http://www.openx.com/) , открытого движка для организации показа online-рекламы, обнаружен (https://isc.sans.edu/diary/OpenX+Ad+Server+Backdoor/16303) бэкдор. Наличие бэкдора подтверждено в версии 2.8.10, но по заявлению исследователей безопасности вредоносный код поставлялся начиная с ноября 2012 года. Разработчики проекта пока никак не прокомментировали ситуацию, но в текущей версии пакета OpenX вредоносный код уже отсутствует.
Бэкдор оформлен в виде блока с php-кодом, добавленным в один из JavaScript-файлов и закамуфлированный под обращение к jQuery. Для проверки наличия бэкдора достаточно выявить файлы с расширением ".js", содержащие код на языке PHP:<font color="#461b7e">
find . -name \*.js -exec grep -l '<?php' {} \;
</font>После активации бэкдора злоумышленниками в систему дополнительно устанавливается файл www/images/debugs.php, содержащий web-shell.
URL: https://isc.sans.edu/diary/OpenX+Ad+Server+Backdoor/16303
Новость: http://www.opennet.me/opennews/art.shtml?num=37613
Интересно что по этому поводу скажет Сноуден.
> Интересно что по этому поводу скажет Сноуден.Ничего.
сноуден скажет что; ПРИШЛО ВРЕМЯ ПЕРЕУСТАНАВЛИВАТЬ ШINDOWS ШINDOWS САМ НЕ ПЕРЕУСТАНОВИТСЯ..
А говорили, что в опенсорце не бывает закладок…
А еще говорят что кур доят. Да?
ну да, иначе откуда взяться птичьему молоку?
Как откуда? Конечно с памятников!
Нет, но просто их находят рано или поздно. В отличие от проприетарщины.
> В отличие от проприетарщины.В "проприетарщине" их тоже находят, несмотря на отсутствие волшебного открытого кода.
>В "проприетарщине" их тоже находятВозьми исходники OpenX и найди в них уязвимости. Возьми Windows 8, дизассемблер, метод тыка и найди в ОС уязвимости. Когда всё сделаешь извинишься за выше написанный бред.
в сотне строк уязвимость проще найти, чем в милеарде, посему некоректное сравнение...
> в сотне строк уязвимость проще найти, чем в милеарде, посему некоректное сравнение...Вообще-то в случае с Windows у вас будет 0 (ноль) строк исходного кода. Ищите...
> Вообще-то в случае с Windows у вас будет 0 (ноль) строк исходного кода. Ищите...У правительств и спецслужб есть исходные кода - по спецсоглашениям. И часть 0-day уязвимостей похоже именно оттуда.
ну не считая того что исходники сколько раз утекали.. Это не мешало находить в винде дыры.
Утекали незначительные крохи.
>ну не считая того что исходники сколько раз утекали.. Это не мешало находить в винде дыры.Помогало.
Хотя то что утекала никогда в "винду" и не компилировалось. Получалось что-то другое и не-работоспособное.
чЮвак, ты меня убедил. винда - это опенсорц. возьми с полки внеочередную премию.
> в сотне строк уязвимость проще найти, чем в милеарде, посему некоректное сравнение...Когда найдёте свою первую уязвимость в чужом коде, вот тогда и приходите сюда с умным видом.
Это же касается и персонажа под ником "AX".
>> в сотне строк уязвимость проще найти, чем в милеарде, посему некоректное сравнение...
> Когда найдёте свою первую уязвимость в чужом коде, вот тогда и приходите
> сюда с умным видом.
> Это же касается и персонажа под ником "AX".Ты уже нашел, Шигорин? Или так, как всегда - в каждой бочке затычка?
>> Когда найдёте свою первую уязвимость в чужом коде
> Ты уже нашел, Шигорин?Я уже больше десятка лет как порой нахожу.
PS: хамство оставьте своим родителям -- может, ещё что-то смогут изменить. Последнее китайское.
> PS: хамство оставьте своим родителям -- может, ещё что-то смогут изменить.ИМХО, неверное предположение. Если не смогли до """зрелого""" школьного возраста, не смогут и сейчас. Жизнь подправит, но жёстким образом, к сожалению. Печальнее всего потерянное время этого "индивида".
Находят. Сначала подложат, потом находят. *шепотом* но никому не говорят.
> Находят. Сначала подложат, потом находят. *шепотом* но никому не говорят.Если можно, IMHO уточнение, кто находит. Находят пользователи, а чаще хакеры. А потом разработчики выпускают пакеты обновлений/исправлений для закрытия старых (о как мы любим наших пользователей) и ввода новых как бы ошибок.
Та не, находят в первую очередь те, кто кладет. Таким образом к третьему шагу, описанному тобой можно прибегать, в общем-то, только в случае палева.
>Если можно, IMHO уточнение, кто находит. Находят пользователи, а чаще хакеры. А потом разработчики выпускают...Какие добрые и сознательные хакеры!
Зыж
Пользователи ничего не находят.
Только ошибки в интерфейсе иногда.
Находят, но только если присмотреться как следует. То есть совсем специалистами, которые занимаются регулярно аудитом ПО. А в opensource любой желающий может взять и посмотреть код. И для совсем уж параноиков можно еще и собрать из проверенных лично исходников такой же бинарник, какой предлагает разработчик:)
> Находят, но только если присмотреться как следует. То есть совсем специалистами, которые
> занимаются регулярно аудитом ПО. А в opensource любой желающий может взять
> и посмотреть код. И для совсем уж параноиков можно еще и
> собрать из проверенных лично исходников такой же бинарник, какой предлагает разработчик:)любой желающий осилит аудит кода ? :)
> любой желающий осилит аудит кода ? :)Когда припрёт -- даже я осиливаю, а что? При этом штатно стараюсь пользоваться тем, что вычитывают для себя люди, которым в этом плане доверяю, и изолировать то, что малоподъёмно в плане нормального аудита.
http://openwall.com/Owl/ тоже не отменяли.
>> Находят, но только если присмотреться как следует. То есть совсем специалистами, которые
>> занимаются регулярно аудитом ПО. А в opensource любой желающий может взять
>> и посмотреть код. И для совсем уж параноиков можно еще и
>> собрать из проверенных лично исходников такой же бинарник, какой предлагает разработчик:)
> любой желающий осилит аудит кода ? :)Ну да, любой желающий из специалистов может осилить аудит кода. Такие специалисты добьются результата быстрее, нежели если бы пытались искать закладки в закрытом проприетарном продукте. Чего еще вам разжевать?
Ваш К.О.
>любой желающий осилит аудит кода ? :)Да. Как и любой аудит.
Если есть желание получить эти навыки.
Также как аудит sql (в oracle например)
Хинт — есть прямая связь межу исходником и блобом из него.
Если не может самостоятельно, то может нанять специалиста. Какая разница кто именно сделает аудит? Факт в том что с исходниками аудит делается проще.
И на некоторые серьёзные проприетарные продукты можно (не бесплатно конечно) сырцы получить для анализа безопасности. Это нормальная практика.
И продолжают говорить - появилась закладка - ее обнаружили
> вредоносный код поставлялся начиная с ноября 2012 годаОчень быстро обнаружили, надо сказать. Не прошло и года.
>> вредоносный код поставлялся начиная с ноября 2012 года
> Очень быстро обнаружили, надо сказать. Не прошло и года.Ага, и это в коде на php!
Туда просто никто не смотрел.Нужно ли заботиться о своей безопасности - личный выбор каждого.
>>> вредоносный код поставлялся начиная с ноября 2012 года
>> Очень быстро обнаружили, надо сказать. Не прошло и года.
> Ага, и это в коде на php!Уточнение бы. Кто нашел и как. Последний вопрос важен - нашли, просматривая код, или по функциональному поведению закладки. Если второе, то в чем преимущество исходных кодов, которые никто не читает (и может ли прочитать)?
> А говорили, что в опенсорце не бывает закладокГоворили тебе все. Убеждали. А у тебя сейчас прям глаза открылись. Какое разочарование в опенсурсе.
Задние двери пихают куда ни попадя, в опенсорсе их проще и быстрее выявить.
В php бывает всё. php - это изгой opensource, там бывает даже то, чего вообще быть не может. Слова 'php' и 'безопасность' - это антонимы.
Вы зря пользуетесь каждым случаем, чтобы лягнуть PHP. Ну не нравится и нравится. Тысячи разработчиков и сотни тысяч пользователей имеют иное мнение. Опасный код пишется на любом языке и с помощью любой технологии.
> Вы зря пользуетесь каждым случаем, чтобы лягнуть PHP. Ну не нравится и
> нравится. Тысячи разработчиков и сотни тысяч пользователей имеют иное мнение. Опасный
> код пишется на любом языке и с помощью любой технологии.Я на вопрос отвечаю, почему php небезопасен. Просто потому, что сделан небезопасным, и что там куча вещей, позволяющих делать небезопасное легко и просто. Все эти методы уже описаны в мировой литературе.
И я достаточно невысокого мнения о творениях этих тысяч разработчиков. Лучше пять хороших решений, чем миллион плохих, среди которых есть и пять хороших.
Сказал тот, лучшее достижение которого <?php phpinfo(); ?>
Ну, конечно. Это один ты у нас всё пишешь.
Вот ещё в коллекцию потенциальных уязвимостей:a = None
b = a + 15
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
TypeError: unsupported operand type(s) for +: 'NoneType' and 'int'
$a = null;
$b = $a + 15;
echo $b;15
Отсюда девиз: "PHP - да нам пох.. на то, что вы пишете"
Да куда ему до буратинового питона, в котором уязвимостями можно крутить только добавляя и удаляя пробелы
> Да куда ему до буратинового питона, в котором уязвимостями можно крутить только добавляя и удаляя пробелыпример такой уязвимости?
а если кто-то не видит пробелов - пусть очки купит
>> Вы зря пользуетесь каждым случаем, чтобы лягнуть PHP. Ну не нравится и
>> нравится. Тысячи разработчиков и сотни тысяч пользователей имеют иное мнение. Опасный
>> код пишется на любом языке и с помощью любой технологии.
> Я на вопрос отвечаю, почему php небезопасен. Просто потому, что сделан небезопасным,
> и что там куча вещей, позволяющих делать небезопасное легко и просто.
> Все эти методы уже описаны в мировой литературе.
> И я достаточно невысокого мнения о творениях этих тысяч разработчиков. Лучше пять
> хороших решений, чем миллион плохих, среди которых есть и пять хороших.тогда ассемблер тоже небезопасен - на нем столько творений по влезанию в ваш компьютер написано...
Трудно найти другой такой язык, в котором можно было бы написать include "$_GET[$mycoolarg]";
Говорили несколько другое: в закрытом софте закладки остаются.
Это, получается, сервер должен быть настроен так, чтобы php обрабатывал *.js? Оригинально, что тут сказать...
> Это, получается, сервер должен быть настроен так, чтобы php обрабатывал *.js?Необязательно.
вот мне тоже интересно
Надо срочно отключить в браузере поддержку php.А вообще, openx давно протух. Там несколько лет назад пришли маркетологи, все реорганизовали, и обновления выкладывать просто перестали. Код внутри тоже не фонтан, интерфейс убогий. От опенсорса одно название осталось, для галочки.
Какие есть живые альтернативы?
Живых, к сожалению, не знаю. Несколько лет назад OpenX (phpAdsNew) был последним условно вменяемым, пока его реорганизацией не накрыло.У меня крутится пока, но админка по IP закрыта, потому что уже были массовые экплоиты. Без дополнительных ограничителей openx сейчас держать откровенно стрёмно.
> Надо срочно отключить в браузере поддержку php.А в браузере есть поддержка PHP? Поржал.
>> Надо срочно отключить в браузере поддержку php.
> А в браузере есть поддержка PHP? Поржал.в unity у оперы есть...
>>> Надо срочно отключить в браузере поддержку php.
>> А в браузере есть поддержка PHP? Поржал.
> в unity у оперы есть...при установленном интерпретаторе (и сопутствующем ПО типа LAMP под Linux или Денвер под нестандартной системой)? причем тут вообще браузер? бред. для браузера ваш файл php - просто текстовый: можешь позыбать текст, но исполнять-то что тут?
> Надо срочно отключить в браузере поддержку php.Да, так и сделай. Отпишись потом.
>> Надо срочно отключить в браузере поддержку php.
> Да, так и сделай. Отпишись потом.для того, чтобы отключить php в firefox, необходимо перейти на страницу about:config, создать там строковый параметр php.enabled со значением false. после этого браузер не будет поддерживать php
php не открывается в Firefox как сценарий
А ничего, что сервер-сайд скрипты выполняются на сервере, а твой брозер получает просто html сгенерированный скриптом?
Не с ноября, а с 19 сентября. Файл openx-2.8.10.tar.gz от этой даты.
А куда делся 21й коммент?!! (http://www.opennet.me/openforum/vsluhforumID3/91163.html#21)> …зайди в файле openx-2.8.10.tgz в архив etc/plugins/openXVideoAds.zip
> Там есть очень интересный файл plugins/deliveryLog/vastServeVideoPlayer/flowplayer/3.1.1/flowplayer-3.1.1.min.jsЯ нашел такой файл, и там есть php-вставки…
Реклама - зло, понятно почему никто раньше не нашёл, добровольно искать ошибку в том, что используется против тебя…
Даже в опенсорсе не постеснялись включить бэкдор, значит и в другом опенсорсе они теоритически могут быть. Надо юзать наиболее популярный опенсорс, его чаще просматривают. А сколько их окажется в проприетарщине.. Viva opensource.
> Даже в опенсорсе не постеснялись включить бэкдор, значит и в другом опенсорсе
> они теоритически могут быть. Надо юзать наиболее популярный опенсорс, его чаще
> просматривают. А сколько их окажется в проприетарщине.. Viva opensource.Да в любом опенсорце такая вставка должна просто кричать "я - опасность", и такое не стоит запускать, даже если ОЧЕНЬ хочется.
"Не уверен - не запускай".