Et encore un étrange PHP

Dans le post précédent, on a vu comment se faire embrigader son site web dans une poignée de botnet sous irc et ce qu’il était possible de faire avec ces botnets. Continuons l’analyse de des ces scripts en désossant «l’étrange image» utilisée en tant qu’«Injector» alias aka.jpg. Ce fichier est lui aussi un script PHP que vous pouvez retrouver chez malware.lu sous le sha 9ad4d81bd0d4d8f51031837f75902257f1d8ca1f [MODE PROMO ON] Malware.lu, c’est du malware mais c’est pas grave [MODE PROMO OFF].

C’est aussi une belle bête, 3300 lignes pour 173K de Php. D’après la bannière on est en présence d’une bonne vieille backdoor ;

À la première lecture de ce genre de script, on cherche à trouver la backdoor de la backdoor.. Et c’est inexorable, cela ne manque pas.. En plein milieu de la phase d’initialisation du script on retrouve un étrange :

Evidemment si on décode la string encodée base64 on tombe sur :

Encore une fois tout en humilité «hein Boss» ;) Et donc voila, dès la première visite de ce script, celui-ci va “baver” dans la boite mail “seller.hosting2@gmail.com” et il indiquera l’emplacement de la backdoor et l’ip du client qui s’est connecté. Cela sera le cas pour chaque nouveau client. Ça c’est probablement pour calmer les gamins qui découvrent ce script et qui tentent de jouer avec le feu.

Une fois cette ligne commentée on peut continuer à regarder ce que fait cette backdoor. La première chose qui est fun, c’est que cette backdoor hoste les images sa très gothique  skin tout simplement sur un site wordpress. C’est assez cocasse étant donné que ce genre de backdoor viennent généralement de poncer justement… des sites wordpress. Cela nous apprendre deux choses, primo ces petits malins sont indonésiens et secundo que cela dure depuis septembre (Et oui 4 mois déjà).

Evidemment le site malengz.files.wordpress.com de base est hors de tous soupçons.

malengz website

malengz website

Mais rien que la bannière cachée au fond du site semble prometteuse. Tous les mots clef y sont… Petit Quizz.. Toi aussi trouve l’intrus, lequel de ces mots n’est pas une attaque ?

Bullet Proof Security

Bullet Proof Security

Vite, vite lisons le code source. Première chose à noter, c’est qu’à part les images sur le site wordpress, toute une autre série de scripts et d’archives sera téléchargé du site www.inforealstate.pl

Malheureusement pour moi, trop tard, il semblerait que le site polonais ait déjà nettoyé ces saloperies. Impossible donc de mettre la main sur ce qui semble être un joli condensé d’exploit web et de rootkit de tous poils. On se notera les noms pour tenter un Dork pour les trouver plus tard.

Une autre poigné de scripts d’exploits semble directement pris depuis des sites comme milw0rm, packetstorm, securityfocus etc… On est effectivement en face d’une backdoor avec option “injecteur de compétition”.

Maintenant qu’il semble sanitisé et controlé, lançons le directement dans notre sandbox et laissons enfin la bête se présenter :

Akas 06 BackDoor

Et voila donc à quoi ressemble une énième backdoor de type “C00L 8L4ck SkinZZZzzz, I’m a H4cK3r Man !!” Cela permet de rapidement prendre en main le serveur, même sans compétences particulières.

Backdoor easy functions

On peut dès lors sur ce pauvre serveur, s’y balader, ouvir un shellcode, installer un rootkit, jouer avec la database, lancer du code php, y pousser des fichiers, trouver des répertoires writables, etc… etc.. C’est une backdoor classique qui ne diffère pas beaucoup de celles que j’ai déjà vue. Cependant celle-la a un petit plus ! Elle dispose d’une boite mail pour le support (On laissera Mme Merkel seule juge pour apprécier l’humour indonésien.)

Support "Deutsch Qualität" Allez à bientôt pour le dernier script de ce pack. Allons prévenir Google et WordPress, là cela a plus de chances de fonctionner :)

 

 

 

This entry was posted in Hacking, WebSecurity and tagged , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

AlphaOmega Captcha Classica  –  Enter Security Code