Критическая уязвимость в ТМ3, читать всем

Нами была найдена критическая уязвимость в столь популярном в нынешнее время трейд-скрипте ТМ3, которая позволяет получить мастер-доступ к админке ТМ3 практически на любом сайте, степень поражения - 100% легальных и нелегальных копий ТМ3. Подробности и методика по избавлению от встроенного автором в ТМ3 бекдора здесь - http://www.rusadult.com/index.php?type=column&area=1&p=articles&id=43

как-то странно - там же и так введены юзеры gw и tyrex (авторы), с полными полномочиями
зачем еще бэкдоор??

Sven, там вообще другой логин на мастер доступ вшит, о котором авторы молчат. По понятными причинам сказать вслух я его не могу.

Более того - логин невидимый, его нет в области юзеров, его не остается в логах.. Фактически самый настоящий бекдор, причем есть он в 100% версий

мда... надо Киту сказать чтоб прилепил навремя топик.

патч для FreeBSD-5.4 подойдет для FreeBSD-5.3?

Cooper писал:

Нами была найдена критическая уязвимость в столь популярном в нынешнее время трейд-скрипте ТМ3, которая позволяет получить мастер-доступ к админке ТМ3 практически на любом сайте, степень поражения - 100% легальных и нелегальных копий ТМ3.

бинарники и исходники, ТМ3 хоть поковырять можно.
боюсь даже предположить что может скрываться под зендовскими скриптами... все от порядочности авторов зависит.

кстати, не забудьте поблагодарить авторов TM3 через bugtraq[]securityfocus[]com ...

Dak, насчет того что вшивают в скрипты - тут ты прав, одному автору известно В тм3 дырку чисто случайно нашли, долго фигели..
GoodZone - стукни мне, самому интересно, разберемся ;)

Последний раз редактировалось: Cooper (18/01/17 в 11:18), всего редактировалось 1 раз

btw, второй метод - если патч не сработает на Вашей системе - есть вариант ограничить средствами Apache доступ к файлу
/cgi-bin/tm3/ttlogin
только для Ваших айпи - при этом никакого вмешательства в скрипт не нужно, но проблема решится таким образом.

Dak, что бы рассеять сомения Купер и Ко. показали исходники 3ему лицу.

Cooper писал:

...только для Ваших айпи - при этом никакого вмешательства в скрипт не нужно, но проблема решится таким образом.

Уже у двоих этот метод полностью нарушил работоспособность скрипта. И даже после того как это было убрано скрипт на сразу заработал. Хотя хз как они делали.

Там зазенденый PHP или бинарник?
Если бинарник, то можно напрямую ручками в коде через HEX редактор этот логин поправить... Если зазенденый PHP, то жопа. Если только средствами Apache ограничить доступ в админку...

wMaster, патч не может убить файл если четко не видит что может его поправить - там встроена дуракоустойчивость - если что не так - патч просто выдает ошибку, тут именно вопрос в том что делали.. Плюс опять же возможность забекапить предварительно файл ttlogin и потом восстановить его если что произошло не так никто не отменял, верно?
Adult, весь ТМ3 написан на Си, соответственно там бинарник. Патч именно и делает то - что правит логин на несуществующий. Если не получается - ограничивать доступ в админку и все.

Cooper писал:

Adult, весь ТМ3 написан на Си, соответственно там бинарник. Патч именно и делает то - что правит логин на несуществующий. Если не получается - ограничивать доступ в админку и все.

Так ищите тогда патчем этот логин в бинарнике и правьте на несуществующий. Просто не понимаю, что тут может не получаться.
Логин известен, файл известен. Смещение в файле может плавать от версии к версии, но с помощью патча мы ищем эту подстроку в бинарнике и правим. Если конечно файл закриптован, то это другое дело...

Adult, на большинстве версий наши патчи работают, на всех осях проверить нет возможности, да и желания. Для полной ясности картины - мастер-пароль на ТМ3 звучит не иначе как "mainpage" - кому интересно - сам убедится что это есть и как это поправить если вообще ничего не помогает. Нам неинтересно заниматься полным закрыванием боков автора, информации предоставлено более чем достаточно, на край - ограничить доступ и все

Не знаю будет ли кому интересно, но я связался с автором ТМ3. Получил следущий ответ "there is no preinstalled "backdoor". We have a special unique account integrated in each TM3 which allows us to reset password in case user forgets it. It's nothing to hide".

Или по-русски: "Бэкдора никакого нет, есть специальный аккаунт внедренный в каждый tm3, для возможности reset'a пароля, если user вдруг его забудет".

Хотя логически порассуждав, получив доступ к этому аккаунту вредитель может получить и доступ к tm3.

design, это стандартный ответ автора, ты уже 5 кажется кому так сказали. Прикол в том, что имея фтп доступ к серверу пароль восстанавливается за минуту овнером (собственно как и к любому другому скрипту), так что наличие бекдора - ну расцените как добрую шутку автора - ведь и правда, каждый любит вешать ключ от квартиры при входе - чтобы им мог воспользоваться каждый

Cooper писал:

Нам неинтересно заниматься полным закрыванием боков автора, информации предоставлено более чем достаточно, на край - ограничить доступ и все

Респект Вам за находку!

Adult

Для тех, у кого не работает патч или кто просто хочет закрыть доступ к файлу логина по айпи, цитирую нашего программера:

.htaccess (в нужной директории)

<Files ttlogin>
Order deny,allow
Allow from 1.2.3.4
Deny from all
</Files>

ps: В описании директории (блок <Directory lalala>...</Directory>) в httpd.conf для оперируемой директории обязательно должен быть разрешен Override для Limit. Это выглядит как строчка

AllowOverride Limit (или AllowOverride All)

И еще... Наличие этого Override необходимо проверить ДО того как выкладывать .htaccess, чтобы избежать проблем с apache'ем, который будет
ругаться на содержимое .htaccess

pps: Не забыть 1.2.3.4 заменить на свой ip. Строчек 'allow from' может быть несколько с разными ip... :-)

wMaster писал:

Уже у двоих этот метод полностью нарушил работоспособность скрипта. И даже после того как это было убрано скрипт на сразу заработал. Хотя хз как они делали.

Потому что поставили запрет на все,
а он считает файликами l и m из той же директории
запрет надо ставить только на ttlogin

Сам так обжегся. Все попадало

а тут уже cooper выложил инфу.

Cooper, расскажи, как обнаружили сие дело?

Да, действительно аккуратнее, нельзя закрывать доступ ко всей папке - там еще немало важных файлов лежит.

Adult, мы пишем свой трейд скрипт, я упоминал о нем в статье, сорцы тм3 различных версий у меня есть, дал программисту задание вытащить основную формулу трейда - ибо в своем скрипте планируем реализовать режим "Like TM3" - ибо сам ТМ3 довольно неплохо держит трафф и неплох при разгоне, но все же у него есть немало грустных недостстков (это тема отдельного разговора). Собственно программер и обратил внимание на одну очень интересную строку в первом же мейкфайле (на которую все думали что это строка указания админского пароля) - полез внутрь разбираться дальше и был очень удивлен.. Возможность зайти с мастер-паролем в админку с полными правами (что это дает думаю всем ясно) - причем - в момент захода создается невидимый для владельца сайта юзер со сроком жизни в полчаса - то есть отследить что кто-то был у тебя в админке вероятно получится только лишь грамотно пропарсив логи Апача. Дальше были тесты - у всех ли это, привлекли народ со всевозможными версиями, пришли к выводу что у всех это зашито.. Потом думали что с этим всем делать, решили выложить это все "as is" - собственно все что вы и видите в этом топике и в нашей статье на Русадалте.

Cooper писал:

Adult, мы пишем свой трейд скрипт ...

Спасиб. Жалко рейтинг проставить не могу