В очередной раз коснусь темы безопасности сайтов.
Не буду томить – сразу пару мыслей озвучу, в конце поста подкреплю интересными с моей точки зрения ссылочками.
Итак, мысль первая – чтобы уметь находить шеллы, бэкдоры и прочую хрень, ИМХО обязательно нужно попробовать их попрятать и наоборот – чтобы уметь прятать, нужен опыт по их нахождению!
В идеале – устроить соревнование с единомышленником 🙂
Без инструмента отслеживающего изменения файлов! – т.к. с ним всё очень просто. предположим, что момент инъекции не отслежен, у хакера (товарища) есть доступ к шеллу и снимка файловой системы до инъекции тоже нет. Задача “игры” – как можно дольше удержаться в файловой системе соперника, как можно быстрее удалить инъекции со своего сайта.
Так же при работе с чужим сайтом, помним, что главное – не спалиться. Если каким то образом помимо шелла вычисляем реальный IP атакующего, или какие то данные (имя домена, хостинг оформленные на него, и т.д. и т.п.) – полная победа 🙂 – например чтоб не светить IP можно использовать браузер для анонимного серфинга TOR Browser (в реальности такие данные могут помочь спрятать хакера за решетку).
Вторая мысль уже больше не мысль, а совет для обнаружения уже засевшего бэкдора в момент его работы – обязательно включайте логирование тела POST запроса, ну и логи COOKIE так же не помешают.
В nginx за это отвечают переменные $request_body и $http_cookie, так же у меня не логировался непосредственно хост – добаил $http_host.
Ну и анализ, анализ и ещё раз анализ логов – взять с поличным проще чем отловить иньъекцию в файловой системе (это вы поймёте ознакомившись с прикреплённым материалом – способов зашифровать инъекцию великое множество – и далеко не все ищутся антивирусами и спец.софтом) – именно поэтому много бэкдоров после успешной инъекции могут выжидать своего часа дни, недели, месяца.
Ну и как обещал, кучка интересных ссылок (там на каждом ресурсе можно ещё пошарить – инфы полезной масса).
Для начала, стоит почитать статьи от авторов известного скрипта для поиска заразы ai-bolit.php
Далее уже пошли ссылки потяжелее 🙂
https://www.nulled.cc/threads/252175/