.
17 ноября 2016

Как найти / спрятать шелл и другой вредоносный код

posted in взлом и безопасность |

В очередной раз коснусь темы безопасности сайтов.
Не буду томить — сразу пару мыслей озвучу, в конце поста подкреплю интересными с моей точки зрения ссылочками.
Итак, мысль первая — чтобы уметь находить шеллы, бэкдоры и прочую хрень, ИМХО обязательно нужно попробовать их попрятать и наоборот — чтобы уметь прятать, нужен опыт по их нахождению!
В идеале — устроить соревнование с единомышленником :)
Без инструмента отслеживающего изменения файлов! — т.к. с ним всё очень просто. предположим, что момент инъекции не отслежен, у хакера (товарища) есть доступ к шеллу и снимка файловой системы до инъекции тоже нет. Задача «игры» — как можно дольше удержаться в файловой системе соперника, как можно быстрее удалить инъекции со своего сайта.
Так же при работе с чужим сайтом, помним, что главное — не спалиться. Если каким то образом помимо шелла вычисляем реальный IP атакующего, или какие то данные (имя домена, хостинг оформленные на него, и т.д. и т.п.) — полная победа :) — например чтоб не светить IP можно использовать браузер для анонимного серфинга TOR Browser (в реальности такие данные могут помочь спрятать хакера за решетку).
Вторая мысль уже больше не мысль, а совет для обнаружения уже засевшего бэкдора в момент его работы — обязательно включайте логирование тела POST запроса, ну и логи COOKIE так же не помешают.
В nginx за это отвечают переменные $request_body и $http_cookie, так же у меня не логировался непосредственно хост — добаил $http_host.

Ну и анализ, анализ и ещё раз анализ логов — взять с поличным проще чем отловить иньъекцию в файловой системе (это вы поймёте ознакомившись с прикреплённым материалом — способов зашифровать инъекцию великое множество — и далеко не все ищутся антивирусами и спец.софтом) — именно поэтому много бэкдоров после успешной инъекции могут выжидать своего часа дни, недели, месяца.

Ну и как обещал, кучка интересных ссылок (там на каждом ресурсе можно ещё пошарить — инфы полезной масса).
Для начала, стоит почитать статьи от авторов известного скрипта для поиска заразы ai-bolit.php
Далее уже пошли ссылки потяжелее :)

https://www.nulled.cc/threads/252175/

https://forum.antichat.ru/threads/298338/

https://habrahabr.ru/post/280516/

Яндекс.Метрика