黑名單由Google提供 - 前方欺騙性網站

Question

比方說，我擁有一個主域和一個Cpanel共享託管的附加域，每個附加域都有自己的子域，就像子域一樣。 primary-domain.com。附加域名都是真實網站和公共域名，主域名僅用於託管賬戶，http://primary-domain.com實際上只有一個帶有標識的頁面。

幾天前發生了不好的事情，primary-domain.com被Chrome和Firefox攔截：前面的欺騙性網站！

好東西是：現在所有附加域都很好。

在谷歌webmastertools，警告出來了，如下：

這些網頁試圖誘騙用戶做一些危險的，如安裝不需要的軟件或泄露個人信息。

樣品URL（警告有害內容）：

one-of-sub-domain.primary_domain.com/login.php/magmi/web/download_file.php 

我不知道什麼./login.php/magmi/web/download_file.php做以及如何做，我有一個文件/login.php，但我不能在整個服務器找到magmi/web/download_file.php，但是我確實看到它出現在來自印度IP的訪客日誌中。即使它隱藏在某處，但它怎麼能在/login.php/後面執行？

有趣的是，附加域與上述子域一起沒有被列入黑名單，但他們正在使用完全相同的目錄。

我問我的主機要掃描整個根目錄，結果顯示乾淨，沒有發現有針對性的URL和0惡意軟件命中，託管在McAfee上檢查了我的primary_domain.com，結果綠色的風險與谷歌和雅虎的風險相同。我用很長時間的版本恢復了整個目錄，並要求谷歌進行審查。結果很快就回來了，仍然是一樣的，沒有任何改變。

我並不擔心主域名，因爲它實際上不是一個網站，但我想它不會太長，相關的附加域將被阻止。

有關此黑客的任何想法？我確實看到一些關於magmi/web/download_file.php的搜索結果，但我對此沒有經驗。黑客是否有可能在服務器上改變了一些觸發重定向的指令？所有的幫助表示讚賞。謝謝。

Answer 1

我已經通過Google，發現問題來自於使用eccomerce webapp中的插件上傳器的漏洞。攻擊者必須能夠使用該站點的大量上傳器腳本上傳一個php文件，該腳本將該文件轉換爲zip，然後將其安裝到服務器上。

https://www.exploit-db.com/exploits/35052/

我首先開始尋找承載Magento的網站，並掃描其中的問題direcrory網站。然後採取適當措施根除它。禁用軟件通過Web界面上傳插件的功能，並使他們通過sftp手動上傳他們想要的插件。

下一步是將所有密碼更改爲所有人帳戶中的所有內容，以防攻擊者能夠收集該英特爾。

--------------------------- @鏈路利用

開拓發現日期：2014年10月24日 安全研究員姓名：Parvinder。哈辛 聯繫方式：parvinder.bhasin@gmail.com 嘰嘰喳喳：@parvinderb - 天蠍座

目前測試版本： Magento的版本：Magento的CE - 1.8年長 MAGMI版本：v0.7.17a年長

下載軟件鏈接： Magento的服務器：http://www.magentocommerce.com/download MAGMI插件： https://sourceforge.net/projects/magmi/files/magmi-0.7/plugins/packages/

MAGMI（Magento的質量進口商）的文件包含漏洞 （RFI）的異體遭受攻擊者可以上傳基本上任何PHP文件（沒有 任何完整性檢查）。這個PHP文件然後可以被用來掃描信用卡數據，重寫文件，運行遠程命令，刪除文件..等等。實質上，這樣攻擊者就可以在易受攻擊的服務器上執行遠程命令。

重現步驟：

1. HTTP：///magmi/web/magmi.php

2. 在上傳新的插件： 點擊 「選擇文件」 Magento的插件基本上都是PHP文件壓縮。所以創建一個php shell和 zip文件。例如：evil.php例如：zip文件：evil_plugin.zip。在上傳文件 後，它會說：插件已打包安裝。 evil.php：

3. 現在解壓縮惡意evil.php文件。然後你需要做的所有事情 只是訪問這個evil.php頁面： http：///magmi/plugins/evil.php 在這一點上，你真的可以訪問整個系統。下載 任何惡意軟件，安裝rootkit，刪除信用卡數據..etc.etc。