黑名单由Google提供 - 前方欺骗性网站

Question

比方说，我拥有一个主域和一个Cpanel共享托管的附加域，每个附加域都有自己的子域，就像子域一样。 primary-domain.com。附加域名都是真实网站和公共域名，主域名仅用于托管账户，http://primary-domain.com实际上只有一个带有标识的页面。

几天前发生了不好的事情，primary-domain.com被Chrome和Firefox拦截：前面的欺骗性网站！

好东西是：现在所有附加域都很好。

在谷歌webmastertools，警告出来了，如下：

这些网页试图诱骗用户做一些危险的，如安装不需要的软件或泄露个人信息。

样品URL（警告有害内容）：

one-of-sub-domain.primary_domain.com/login.php/magmi/web/download_file.php 

我不知道什么./login.php/magmi/web/download_file.php做以及如何做，我有一个文件/login.php，但我不能在整个服务器找到magmi/web/download_file.php，但是我确实看到它出现在来自印度IP的访客日志中。即使它隐藏在某处，但它怎么能在/login.php/后面执行？

有趣的是，附加域与上述子域一起没有被列入黑名单，但他们正在使用完全相同的目录。

我问我的主机要扫描整个根目录，结果显示干净，没有发现有针对性的URL和0恶意软件命中，托管在McAfee上检查了我的primary_domain.com，结果绿色的风险与谷歌和雅虎的风险相同。我用很长时间的版本恢复了整个目录，并要求谷歌进行审查。结果很快就回来了，仍然是一样的，没有任何改变。

我并不担心主域名，因为它实际上不是一个网站，但我想它不会太长，相关的附加域将被阻止。

有关此黑客的任何想法？我确实看到一些关于magmi/web/download_file.php的搜索结果，但我对此没有经验。黑客是否有可能在服务器上改变了一些触发重定向的指令？所有的帮助表示赞赏。谢谢。

Answer 1

我已经通过Google，发现问题来自于使用eccomerce webapp中的插件上传器的漏洞。攻击者必须能够使用该站点的大量上传器脚本上传一个php文件，该脚本将该文件转换为zip，然后将其安装到服务器上。

https://www.exploit-db.com/exploits/35052/

我首先开始寻找承载Magento的网站，并扫描其中的问题direcrory网站。然后采取适当措施根除它。禁用软件通过Web界面上传插件的功能，并使他们通过sftp手动上传他们想要的插件。

下一步是将所有密码更改为所有人帐户中的所有内容，以防攻击者能够收集该英特尔。

--------------------------- @链路利用

开拓发现日期：2014年10月24日 安全研究员姓名：Parvinder。哈辛 联系方式：parvinder.bhasin@gmail.com 叽叽喳喳：@parvinderb - 天蝎座

目前测试版本： Magento的版本：Magento的CE - 1.8年长 MAGMI版本：v0.7.17a年长

下载软件链接： Magento的服务器：http://www.magentocommerce.com/download MAGMI插件： https://sourceforge.net/projects/magmi/files/magmi-0.7/plugins/packages/

MAGMI（Magento的质量进口商）的文件包含漏洞 （RFI）的异体遭受攻击者可以上传基本上任何PHP文件（没有 任何完整性检查）。这个PHP文件然后可以被用来扫描信用卡数据，重写文件，运行远程命令，删除文件..等等。实质上，这样攻击者就可以在易受攻击的服务器上执行远程命令。

重现步骤：

1. HTTP：///magmi/web/magmi.php

2. 在上传新的插件： 点击 “选择文件” Magento的插件基本上都是PHP文件压缩。所以创建一个php shell和 zip文件。例如：evil.php例如：zip文件：evil_plugin.zip。在上传文件 后，它会说：插件已打包安装。 evil.php：

3. 现在解压缩恶意evil.php文件。然后你需要做的所有事情 只是访问这个evil.php页面： http：///magmi/plugins/evil.php 在这一点上，你真的可以访问整个系统。下载 任何恶意软件，安装rootkit，删除信用卡数据..etc.etc。