Форум Сайтостроение Администрирование серверов

Поиск шелла на сервере

123
Таггу x_x
На сайте с 31.10.2005
Offline
445
Таггу x_x
#11

А чего, есть серверный каспер под никсы?

☠️☠️☠️
VO
На сайте с 27.07.2008
Offline
149
V(o)ViK
#12

Если тот же php шел закодировать, например, zend, никакой антивирус и поиск по ключевым словам его не найдет.

За все что происходит внутри аккаунта должен отвечать конечный пользователь.

TAFF
На сайте с 28.08.2008
Offline
140
TAFF
#13
dkameleon:
а это делается в конечном итоге через eval, который, к счастью, спрятать нельзя ибо это языковая конструкция.

Вот пример:

preg_replace("/.*/e","\x64\x77\x62\x6E\x25\ (и дальше пошло поехало)

Никакого eval'a тут нет (точней не найдёт скрипт поиска по файлам)

✓ Администрирование (/ru/forum/494299) | ✓ Домены (/ru/forum/298049) | ✓ Продажа аккаунтов narod.ru (/ru/forum/585347)
SBot
На сайте с 29.07.2008
Offline
150
SBot
#14

Поиск по дате изменения легко обходят хацкеры. Самый верный способ, переустановить двиг и заказать/найти скрипт который рекрусивно пройдет по всем файла и соберет мд5 отпечатки,с условием, если найдет изменения после последнего скана отправлять мессагу на мыло с указанием на файл который редактировался без вас. Иначе слейте скрипты на локалку и ковыряйтесь в сорцах. Для ВП есть подобный плагин, рапортует о мд5 отпечатках и их изменении. В вашем случае шелл может быть в БД, картинке, права доступа в каталоги и файлы. Поломали хостера и ифреймят все сайты... Вариантов море.

K
На сайте с 29.02.2008
Offline
116
kdj
#15

TAFF Вам удалось найти хоть один шел?

- тогда можно поискать по логам IP (awk + grep в помошь) и посмотреть что еще делали с это IP. На 99,99% IP не менялся в течении суток при обращении к другим шелам. Так что так можно найти все остальные

- проверьте открытые порты на сервере http://www.rhd.ru/docs/manuals/enterprise/RHEL-4-Manual/security-guide/s1-server-ports.html

- я бы установил GIT и создал репозиторий с кодом сайта, далее с помощью git status можно отследить какие файлы изменения или добавлены.

iamsens
На сайте с 26.08.2009
Offline
115
iamsens
#16

как писали, лучше переустановить скрипты, если есть такая возможность конечно

бо все веб-шеллы выловить далеко не всегда получается

dkameleon
На сайте с 09.12.2005
Offline
386
dkameleon
#17
TAFF:
Вот пример:
preg_replace("/.*/e","\x64\x77\x62\x6E\x25\ (и дальше пошло поехало)
Никакого eval'a тут нет (точней не найдёт скрипт поиска по файлам)

так то ж не матч, а реплейс :)

да, действительно, есть там такая мулечка...

обратите внимание на модификатор:

e (PREG_REPLACE_EVAL)
If this modifier is set, preg_replace() does normal substitution of backreferences in the replacement string, evaluates it as PHP code, and uses the result for replacing the search string. Single quotes, double quotes, backslashes (\) and NULL chars will be escaped by backslashes in substituted backreferences.

Only preg_replace() uses this modifier; it is ignored by other PCRE functions.
Дизайн интерьера (http://balabukha.com/)
T
На сайте с 30.10.2008
Offline
17
tobari
#18

это целое искусство :)

system(), exec(), passthru(), shell_exec(), popen(), pcntl_exec(), строки между кавычек `(строка)`

preg_replace, eval, include, require, include_once, require_once (параметром может какая либо переменная, которя объявлена в другом файле, а файл, который инклудится, может быть за пределами веб директории).

нужно обратить внимание на всякие base64_decode, ord и xor (^), pack/unpack, но чаще всего в бейз64 прячут.

еще есть злая функция create_function

еще могут прятать всякими коллбеками, вот пример 


	function somefunction($iterator) {

		$arr = array($iterator->current());

		$res = array_walk($arr, strrev('lave'));

		return 1;

	}



	$it = new arrayiterator(array(strrev(";)\"a- emanu\"(metsys")));

	iterator_apply($it, 'somefunction', array($it));

выполнит комманду uname -a

Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#19

Исскуство-шмуство

Отключение опасных функций + mod_security и все

Не стоит плодить сущности без необходимости
T
На сайте с 30.10.2008
Offline
17
tobari
#20
Andreyka:
Исскуство-шмуство
Отключение опасных функций + mod_security и все

было бы все так просто 🚬

да и разные ситуации бывают, иногда похеканый сайт на шаред хостинге, можно конечно админов попросить поотключать, но это не панацея. лазейки есть, те же ssi, cgi-bin...

а как вам трояненый веб-сервер? трояненые модули... уже не говорю про трояненое ядро

причем, даже патчи вас не спасут, если нужно будет, то порутают, есть оочень много приватных багов на повышение привилегий.

а мод секьюрити в некоторых ситуациях очень легко обмануть.

так что да, это искусство 🚬

123

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий