Računala Windows Internet
Proširiti
Dom

PHPShell je php skripta koja vam omogućuje izvršavanje naredbi ljuske na web poslužitelju. Zlonamjerna php shell skripta - gdje noge rastu iz Što je php shell

Nedavno sam na golemim prostranstvima interneta naišao na spominjanje " PHP Shell". Prije nekoliko godina ovaj uslužni program mi je puno pomogao, a sada želim platiti svojevrsni dug njegovom developeru Martinu Geisleru (http://mgeisler.net/).

Koja je svrha "PHP Shell"? Vjerujem da je svaki "napredni" web programer, a da ne govorimo o sistemskim administratorima, naišao i koristio SSH. SSH nam omogućuje daljinski pristup poslužitelju i izvršavanje naredbi ljuske na njemu (pa, postoje sve vrste naredbi poput prolaska kroz direktorije naprijed-natrag, gore-dolje, premještanja, brisanja i kopiranja datoteka, pokretanja skripti i svih vrsta genijalni uslužni programi), kao da se spajate na vaš monitor blok sustava produljio do nevjerojatnih veličina i dosegao, koliko i host poslužitelj. Moram reći da je moguće tunelirati kroz ssh i X-grafiku, sliku radne površine, koja prikazuje pokrenute prozorske aplikacije, ali to očito nije za web poslužitelje.

Jednom riječju, ako nemate SSH na svom hostingu, onda "što nije u redu u danskom kraljevstvu." Nedostatak je što je često SSH onemogućen prema zadanim postavkama na vašem "svježem" mjestu i potrebno je neko vrijeme da se raspravljate s timom za podršku kako bi ssh proradio. Upravo se to dogodilo te daleke zimske večeri. Trebao sam hitno prebaciti stranicu s jednog stroja na drugi, pri čemu su se pojavili problemi, a obično sam posegnuo za prečacem za kit na radnoj površini kako bih vidio što je "unutar" pacijenta. Ups... i podrška za ssh nije omogućena. Kako biti? Ako ste prilično sofisticirani u programiranju na nekom jeziku, onda vam neće biti teško napisati malu skriptu koja implementira željeni zadatak. Otvorio sam google i, nakon što sam prošao kroz par linkova, našao sam spomen PHP Shell-a. Jednom riječju, otišao sam kući na vrijeme.

Iskreno govoreći, imao sam veliku sreću što sam imao dovoljno smanjenih značajki ljuske koje mi je dao PHP Shell – to je još uvijek imitacija iste.

U svojoj srži, PHP Shell koristi php funkcija- proc_open. Ova funkcija pokreće neku naredbu i otvara ulazno-izlazne tokove kako bi unijeli neke informacije u aplikaciju (simulirajući ručni unos, kao na tipkovnici) i prikazali rezultate rada (ako znate što su cijevi, onda smo mi govoreći o njima). Zapravo, funkcija proc_open je poboljšana i proširena verzija exec ili sistemskih funkcija. Oni su, međutim, samo pokrenuli program, a nisu dali priliku za interakciju s njim, trebali biste odmah imati u parametrima naredbeni redak navedite sve podatke potrebne za rad naredbe. proc_open vam omogućuje stvaranje cijevi povezanih s vašom php skriptom, te u skladu s tim možete simulirati unos u program i čitati rezultate njegovog rada. Za ljubavnike besplatni hosting odmah ću reći:

"NE, NEĆETE MOĆI PRISTUPITI SSH-u S PHP Shellom."

Činjenica je da je za besplatan ili vrlo jeftin hosting uobičajeno pokrenuti php u safe_modeu. Onemogućuje brojne značajke, uključujući proc_open.

"NE, S PHPSHELL-om NE MOŽETE RADITI S INTERAKTIVNIM PROGRAMIMA."

Sama bit weba nam govori da na udaljenom poslužitelju nije moguće pokrenuti neki program koji bi nastavio s radom i koji bi nam omogućio unos i izlaz podataka tijekom nekoliko zasebnih http zahtjeva.

"NE, NE MOŽETE PRISTUPITI SVIM PROGRAMIMA, DATOTEKAMA I MAPAMA NA POSLUŽITELJU."

Skripta radi ili u ime apachea i tada su njezine mogućnosti ograničene samo na ono što apache račun ima prava. Ili alternativno, ako se suexec koristi na hostingu (http://en.wikipedia.org/wiki/SuEXEC), tada će vaša prava odgovarati pravima račun iz koje se pokreće php skripta.

Pretpostavimo da vas to nije zaustavilo i da ste preuzeli i raspakirali arhivu na svom poslužitelju u mapu, recimo phpshell. Ako u adresnu traku vašeg preglednika unesete "something-is-your-site/phpshell/phpshell.php", od vas će se tražiti da se predstavite, unesete ime i lozinku - naravno, to nisu vjerodajnice koje vi primljeno od vašeg hostera

Dakle, trebate postaviti dopuštenja: tko može pristupiti ljusci putem ovog uslužnog programa. Da biste to učinili, u datoteci config.php pronađite odjeljak korisnika i dodajte mu korisničko ime i lozinku u sljedećem obliku:

Vasyano=tajna

Ako ste zbunjeni činjenicom da je lozinka postavljena u čistom tekstu, tada pomoću datoteke pwhash.php možete saznati preklop lozinke md5 i ona će biti pohranjena u datoteci config.php

Sada se pokušavamo ponovo prijaviti i ući u prozor, gdje unosimo naredbu na dnu prozora, kliknemo "pokreni" i tada se rezultat njenog izvršenja prikazuje u sredini prozora stranice

To je sve, možda ti phpshell nekako pomogne.

Otkrivena je zlonamjerna WSO PHP skripta ljuske /libraries/simplepie/idn/OpenIDOpenID.php (mjesto Joomla! 3). Na ovaj trenutak detektiraju samo neki antivirusi poput JS/SARS.S61, PHP:Decode-DE, Trojan.Html.Agent.vsvbn, PHP.Shell.354, php.cmdshell.unclassed.359.UNOFFICIAL.

Jednog "lijepog" (kao netko) dana, jedan od naših štićenika (http://ladynews.biz), kao rezultat skeniranja svoje stranice hosting antivirusom, dobio je sljedeću poruku:

Na računu su pronađene datoteke sa zlonamjernim sadržajem. Izričito preporučujemo da ograničite pristup svom FTP računu samo s IP adresa koje koristite, a također koristite antivirusnu zaštitu kako biste provjerili ima li na svom računu virusa. Pogledajte savjete za sigurnost i hakiranje kako biste spriječili ponovnu infekciju.

Naravno, predloženo je rješavanje ove sramote - skeniranje uobičajenim antivirusnim ClamAV-om, sa skupom antivirusnih baza podataka prema zadanim postavkama, nije dalo nikakve dodatne rezultate.

Na početku ove priče (2015-10-23), ova skripta za virusnu ljusku je nedostajala iz antivirusnih baza podataka većine antivirusnih programa, uključujući takva "čudovišta" kao što su Comodo, DrWeb, ESET-NOD32, GData, Kaspersky, McAfee, Microsoft, Symantec, TrendMicro i sl., što je 2015-10-23 potvrdio i VirusTotal online skener. Samo nekoliko antivirusnih programa uspjelo je otkriti zlonamjernu PHP skriptu:

Antivirusni rezultat Datum ažuriranja AhnLab-V3 JS/ SARS. S61 20151022 Avast PHP: Decode-DE [Trj] 20151023 NANO- Antivirusni trojanac. html. agent. vsvbn20151023

Istog dana ClamAV i Dr.Web su obaviješteni o otkrivanju zlonamjerne skripte. ClamAV još uvijek tvrdoglavo šuti, a Dr.Web je reagirao na zlonamjerni paket u roku od 24 sata:

Vaš zahtjev je analiziran. Odgovarajući unos je dodan u bazu virusa Dr.Web i bit će dostupan tijekom sljedećeg ažuriranja.

Prijetnja: PHP.Shell.354

Dr.Web je održao svoje obećanje i virusna skripta OpenIDOpenID.php sada je definirana kao PHP.Shell.354 , međutim, mnogi antivirusi kao što su ClamAV, Comodo, DrWeb, ESET-NOD32, GData, Kaspersky, McAfee, Microsoft, Symantec, TrendMicro , itd. itd., još uvijek nemaju pojma o tome (od 2015-10-25).

OK, izbrisali smo datoteku, ali koliko dugo? Odakle je došao, možemo samo nagađati. Što je sljedeće? Počinjemo instalirati sve vrste Securitycheck komponenti i izokrenuti pravila u .htaccess zabranjujući pristup svemu i svačemu, jer na shared hostingu (aka Shared hosting, shared hosting) nemamo ovlasti za više. Koliko će dugo ove mjere uštedjeti, nitko ne zna.

Govoreći o raznim komponentama Securitycheck... Securitycheck je komponenta za Joomla! i dosta dobro. Ali određena "Antivirusna zaštita web-mjesta" je potpuno sranje koje ne preporučujem nikome da ga koristi, evo prakse dokazane recenzije o ovoj "Antivirusnoj zaštiti web-stranice":

Ova komponenta također stvara datoteku pack.tar u vašem /tmp-u koja sadrži vašu configuration.php i sve druge pronađene lozinke! BITI SVJESTAN

Što u prijevodu znači: „ova komponenta također stvara sigurnosna kopija cijele stranice u datoteci /tmp/pack.tar, koja sadrži configuration.php s lozinkama iz baze podataka! BUDI OPREZNI" - to ukazuje da "Zaštita web stranice" ne miriše na ovu komponentu, što bi također trebalo navesti žrtvu na razmišljanje o promjeni staza do direktorija /logs , /tmp , /cache i uskraćivanju pristupa njima.

Klikom na ovu poveznicu možete shvatiti da je problem star najmanje godinu dana. Gledajući ovdje, shvatit ćemo da maskiranje shell skripte nije učinjeno lukavim base64_encode/gzdeflate, što znači da mora postojati negdje drugdje dio koji poziva/povezuje OpenIDOpenID.php i izvršava base64_decode/gzinflate. Dakle, OpenIDOpenID.php je samo rezultat (aka posljedica), a ne uzrok, gdje se žrtva žali da se spam počela slati s poslužitelja u industrijskim razmjerima, ali ručno uklanjanje zlonamjerne datoteke ne pomažu, nakon čega se žrtva više nema na koga žaliti osim na NIC-RU hosting. Virtualni hosting koji "propušta" mogao bi biti vrlo dobar. čak često, IMHO, ljudi tamo rade za plaću, a ne za ideju, ali u nekim slučajevima problem može biti puno dublji.

Na primjer, "iFrame zlonamjerni injektor otkriven u Adobe Flash datoteci". Mislim da ni za koga nije tajna da možete pisati sučelja u flashu za upload datoteka na stranicu i raditi mnoge druge zanimljive stvari u ActionScript jeziku. Virus u .swf datotekama ( Adobe Flash), kao što je praksa pokazala, mogu proći nezapaženo godinama i biti crna vrata na stranici ( aka stražnja vrata - stražnja vrata) kroz koje se "bacaju" datoteke poput "OpenIDOpenID.php", koje se mogu brisati dok ne budete plavi i bezuspješno.

Što učiniti, kako pronaći "slabu kariku" među tisućama datoteka? Da biste to učinili, morate koristiti takozvanu heurističku analizu i, u nekim slučajevima, koristiti antivirusne baze podataka trećih strana. Treba uzeti u obzir da heuristička analiza, ovisno o svojim postavkama, može dati puno lažnih pozitivnih rezultata nego kada se koriste dodatni virusni potpisi programera trećih strana.

Gdje mogu dobiti antivirusne baze podataka trećih strana? Na primjer, baze podataka s antivirusnim potpisima programera trećih strana za ClamAV mogu se besplatno preuzeti na sljedećim adresama: www.securiteinfo.com, malwarepatrol.net, rfxn.com. Kako koristiti ove dodatne antivirusne baze podataka? Ovo će biti sasvim druga priča. Možemo samo reći da su dodatne antivirusne baze podataka za ClamAV s rfxn.com (projekt LMD (Linux Malware Detect)) usmjerene na pronalaženje zlonamjernog softvera u web aplikacijama i daju bolje rezultate. rfxn.com također navodi da 78% prijetnji čiji se otisci nalaze u njihovoj bazi podataka ne otkriva više od 30 komercijalnih antivirusa – a najvjerojatnije jesu.

Dakle... Kako je završila priča sa zlonamjernom PHP shell skriptom OpenIDOpenID.php?

Odlučeno je da se opskrbi dodatnim antivirusne baze podataka za ClamAV s malwarepatrol.net i rfxn.com, preuzmite sigurnosnu kopiju datoteka web-mjesta i skenirajte ih lokalno, evo rezultata skeniranja:

$ clamscan / ladynews.biz / ../ game_eng.swf: MBL_647563.NESLUŽNO PRONAĐENO / ../ farmfrenzy_pp_eng.swf: MBL_647563.NESLUŽBENI PRONAĐEN / ../ beachpartycrazeUN: eng.2.swf. MBL_647563.NESLUŽBENO PRONAĐENO / ../ loader_eng.swf: MBL_647563.NESLUŽBENO PRONAĐENO ----------- SAŽETAK SCENIRANJA ----------- Poznati virusi: 4174348 Verzija motora: 0.98.7 Skenirani direktoriji: 3772 Skenirane datoteke: 18283 Zaražene datoteke: 5 Ukupno pogrešaka: 1 Skenirani podaci: 417,76 MB Očitani podaci: 533,51 MB (omjer 0,78 :1) Vrijeme: 1039,768 sek (17 m 19 s)

/libraries/simplepie/idn/OpenIDOpenID.php poput gore spomenutih .swf datoteka su uklonjene, ali je li problem riješen? Iako je teško reći, kopamo dalje...

Iz dešifrirane verzije datoteke /libraries/simplepie/idn/OpenIDOpenID.php(http://pastebin.com/WRLRLG9B) gledajući konstantu @define("WSO_VERSION", "2.5"); , postaje jasno da je riječ o vrsti proizvoda pod nazivom WSO. Nakon što smo malo kopali po mreži za ključnu riječ WSO, dobiveni su sljedeći rezultati:

Ispostavilo se da tema već dugo nije nova, pa uzimamo regexxer u zube, nastavljamo kopati po datotekama stranice i nalazimo: Greška pri otvaranju direktorija "/home/user/libraries/joomla/cache/controller/cache" : Dopuštenje odbijeno

Da, tu si, gdje te još boljelo! Gledamo prava na direktorij, što prema zadanim postavkama ne bi trebalo biti, = chmod 111 (aka Run for Owner / Group / Everyone). Dakle, nešto negdje sjedi i širi se po katalozima, skrivajući se čak i od virusa s chmods 111.

Nakon što smo postavili chmod 551 za imenik i pogledali unutra, pronađen je tamo /libraries/joomla/cache/controller/cache/cache/langs.php, čiji je izvorni kod objavljen ovdje: http://pastebin.com/JDTWpxjT - imenik /libraries/joomla/cache/controller/cache izbrisati.

Super, sada stavljamo chmods na sve datoteke i direktorije redom:

# masovna promjena prava (chmod) na datoteke u direktoriju ./dirname i ispod pronađi / home/ user/ public_html -type f -exec chmod 644 ( ) \; # dopuštenja masovne promjene (chmod) u /dirname i ispod pronađi / home/ user/ public_html -type d -exec chmod 755 ( ) \;

Još jednom ponavljamo antivirusnu provjeru s dodatnim clamscan /ladynews.biz bazama podataka, ali navodno je sve čisto.

Ponavljamo pretragu datoteka s regexxerom i pokušavamo pretraživati ​​po ključne riječi OpenIDOpenID, OpenID ili WSO - i dolazimo do zaključka da se p.zdets pokazao mnogo širi i dublji:

  • - ne bi trebao biti ovdje, ovdje je njegov izvor: http://pastebin.com/jYEiZY9G
  • /administrator/components/com_finder/controllers/imagelist.php- ne bi trebao biti ovdje, ovdje je njegov izvor: http://pastebin.com/0uqDRMgv
  • /administrator/components/com_users/tables/css.php- ne bi trebao biti ovdje, ovdje je njegov izvor: http://pastebin.com/8qNtSyma
  • /administrator/templates/hathor/html/com_contact/contact/toolbar.trash.html.php- ne bi trebao biti ovdje, ovdje je njegov izvor: http://pastebin.com/CtVuZsiz
  • /components/com_jce/editor/tiny_mce/plugins/link/img/Manager.php- ne bi trebao biti ovdje, ovdje je njegov izvor: http://pastebin.com/2NwTNCxx
  • /libraries/joomla/application/web/router/helpsites.php- ne bi trebao biti ovdje, ovdje je njegov izvor: http://pastebin.com/ANHxyvL9
  • /plugins/system/ytshortcodes/XML.php- ne bi trebao biti ovdje, ovdje je njegov izvor: http://pastebin.com/GnmSDfc9
  • /templates/index.php - ne bi trebao biti ovdje, ovdje je njegov izvor: http://pastebin.com/gHbMeF2t

/administrator/components/com_admin/index.php i /templates/index.php su vjerojatno bile ulazne skripte koje su pokretale glavni kod s vrlo zastarjelom funkcijom eval(), koja je također koristila:

Pa, logika maskiranja zlonamjernog koda je jasna. Sada, ako tražimo konstrukciju " eval($ ", naći ćemo puno zanimljivijih stvari:

  • /administrator/components/com_admin/sql/updates/postgresql/php.php- http://pastebin.com/gRHvXt5u
  • /components/com_kunena/template/blue_eagle/media/iconsets/buttons/bluebird/newsfeed.php -
  • /components/com_mailto/helpers/index.php -
  • /components/com_users/views/login/file.php -
  • /components/com_users/controller.php- zaraženo i potrebno ga je zamijeniti!,
  • /includes/index.php -
  • /libraries/joomla/string/wrapper/section.php -
  • /libraries/legacy/access/directory.php -
  • /libraries/nextend/javascript/jquery/InputFilter.php -
  • /libraries/nextend/smartslider/admin/views/sliders_slider/tpl/config_tinybrowser.php -
  • /libraries/xef/assets/less/admin.frontpage.php -
  • /media/editors/codemirror/mode/rust/Alias.php -
  • /modules/mod_kunenalatest/language/zh-TW/smtp.php -
  • /modules/mod_kunenalogin/language/de-DE/XUL.php -
  • /plugins/content/jw_allvideos/jw_allvideos/includes/js/mediaplayer/skins/bekle/CREDITS.php -
  • /templates/sj_news_ii/html/mod_sj_contact_ajax/toolbar.messages.php -

Nisu sve virusne PHP skripte objavljene na pastebin.com jer je dopušteno samo 10 publikacija unutar 24 sata. U opći red brisanje ovako:

Da, skoro sam zaboravio - prije nego što počnete uklanjati zlonamjerne skripte, ne bi škodilo dodati nekoliko pravila u .htaccess koja zabranjuju izravan pristup bilo kojim .php datotekama u bilo kojem direktoriju, ali dopuštaju pristup samo korijenskim datotekama / ili /index. php i /administrator/ ili /administrator/index.php - to će spriječiti uljeza da pristupi dolaznim skriptama ljuske skrivenim u različitim direktorijima sustava:

(pub) (/pub) (reg.)

# ---++++ ZAŠTITI NEKE DATOTEKE I DIREKTORIJ +++---# RewriteCond %(REQUEST_URI) !^/((index)+\.php|.*\.(htm|html|txt|xml)|+|.*/+|.*/.*\.(css|js |jpg|jpeg|png|gif|ico|eot|svg|ttf|woff|woff2|html)+)?$ RewriteCond %(REQUEST_URI) !^/(administrator)+/(index\.php)?$ RewriteRule ^ (.*)$ - # # ---+++// ZAŠTITIO NEKE DATOTEKE I DIREKTORIJ +++---

UPD 2015-10-28: Pa, što? Već ste opušteni? Prerano je...

Sada pogledajmo u divljini datoteka web mjesta za binarne datoteke, koje uopće ne bi trebale biti u motoru:

pronađi / mypath/ -izvršni -type f find / mypath/ -type f -perm -u+x find / mypath/ -type f | xargs datoteka | grep "\:\ *data$"

Tko traži uvijek će pronaći (binarne datoteke):

  • /modules/mod_p30life_expectancy_calc/tmpl/accordian.pack.js
  • /images/stories/audio/34061012-b1be419af0b9.mp3
  • /libraries/xef/sources/folder/navigation.php
  • /libraries/joomla/application/web/application.php
  • /libraries/joomla/document/json/admin.checkin.php
  • /libraries/nextend/assets/css/LICENSE.php
  • /libraries/fof/config/domain/toolbar.categories.html.php
  • /libraries/fof/form/field/client.php
  • /libraries/phputf8/sysinfo_system.php
  • /components/com_mobilejoomla/index.php
  • /components/com_mobilejoomla/sysinfo_system.php
  • /components/index.php
  • /components/com_banners/sysinfo_config.php
  • /components/com_kunena/views/home/admin.checkin.php
  • /components/com_jce/editor/tiny_mce/plugins/source/js/codemirror/toolbar.checkin.php
  • /components/com_jce/editor/tiny_mce/plugins/colorpicker/admin.cache.php

Hajde da rezimiramo

Nije bilo moguće pouzdano utvrditi odakle su noge ove infekcije izrasle - je li kriv nedavno pronađen u motoru kritična ranjivost dopuštajući SQL injekciju i eskalaciju privilegija, bilo gore spomenute označene kao zlonamjerne .swf datoteke, ili neka vrsta ranjivosti koja još nije otkrivena u jednoj od komponenti ili dodataka treće strane, ili propuštajući virtualni web hosting, pitanje ostaje otvoreno?

Trenutno otkriveno zlonamjerne datoteke očišćeno, datoteke motora potpuno ponovno uploadane, barikade ugrađene u .htaccess pravila... Tko ima vremena i koga zanima sastaviti i kopati po ovoj hrpi sranja može skinuti wso-php-shell-in-joomla.zip arhiva - sve gore navedene su tamo zapakirane zlonamjerne PHP datoteke, lozinka za arhivu: www.website

UKUPNO: Paranoje nikada nije previše, a bilo koji besplatni ili komercijalni antivirus sa svojom heuristikom, zajedno s dodatnim bazama podataka potpisa, daleko je od lijeka. Stoga je svaki antivirus zastarjeli alat za zaštitu aktivnog višekorisničkog okruženja i za sprječavanje raznih nepoznatih prijetnji treba koristiti paranoidne metode zaštite, na primjer: virtualizacija, SELinux, Bastille Linux, immutable bit, ecryptfs itd!

  • Prijetnja: WSO PHP Web Shell
  • Žrtva: ladynews.biz

Većina napada na korporativne resurse uključuje uvođenje web ljuski - koda koji omogućuje kontrolu pogođenih strojeva izvan mreže. AntiShell Web Shell Hunter je sigurnosni alat koji uključuje cijeli niz mehanizama za otkrivanje web ljuski.




Web ljuska je skripta koja se učitava na poslužitelj i koristi za udaljenu administraciju. Postaje zlonamjeran samo kada ga kontrolira napadač. I u ovom slučaju on predstavlja ozbiljnu prijetnju.

Zaraženi poslužitelj ne mora biti povezan s internetom – može se nalaziti na internoj mreži tvrtke. Web ljuska se zatim koristi za pristup drugim hostovima s kritičnim aplikacijama ili informacijama.

Web ljuske su napisane na bilo kojem jeziku koji podržava ciljni web poslužitelj. U praksi se najčešće koriste PHP i ASP jer su najpopularniji. Zlonamjerni softver za ljuske Perl, Ruby, Python i Unix također je čest.

Web ljuske se instaliraju na prilično standardan način za zlonamjerne aplikacije - korištenjem ranjivosti u CMS-u ili softver web poslužitelj. Nakon toga funkcioniraju kao backdoors, što napadaču omogućuje izvršavanje proizvoljnih naredbi na udaljenom računalu, uključujući ubrizgavanje ransomwarea ili pokretanje napada na druge poslužitelje.

Posebna opasnost od mrežnih školjki leži u njihovoj relativnoj jednostavnosti. Promjena skripte za stvaranje drugačijeg programa zadatak je s kojim se može nositi čak i početnik. Zbog ove kvalitete, otkrivanje web ljuski standardnim antivirusnim alatima je teško.

poput drugih zlonamjernog softvera, web ljuske mogu se prepoznati po brojnim vanjskim značajkama. No, značajan dio njih može se odnositi i na potpuno legalne spise, pa se sve sumnjive pokazatelje moraju promatrati u cjelini, analizirajući cijelu sliku, a ne njezine fragmente.

Mogući pokazatelji prisutnosti web ljuske na poslužitelju mogu biti:

  • razdoblja nenormalno visokog opterećenja na poslužitelju;
  • prisutnost datoteka sa sumnjivom vremenskom oznakom (na primjer, kasnije od vremena zadnja nadogradnja NA);
  • Dostupnost sumnjivi dokumenti na mjestima dostupnim s interneta;
  • prisutnost datoteka koje sadrže poveznice na cmd.exe, eval i slično;
  • prisutnost sumnjivih ovlaštenja iz interne mreže;
  • prisutnost datoteka koje stvaraju neobičan promet za njih.

Očito je da "ručna" analiza u ovom slučaju, ako je moguće, zahtijeva previše ljudskih resursa, pa je njezino korištenje lišeno svake praktične svrsishodnosti. AntiShell Web Shell Hunter, razvijen od strane Garhi Technology, automatizira ovaj proces i tvrdi da prepoznaje sve poznate web ljuske.

Aplikacija se temelji na sljedećim tehnologijama:

  • pretraživanje po ključnim riječima. Sve datoteke se provjeravaju na prisutnost riječi i naredbi koje bi mogle biti povezane s napadom;
  • analiza potpisa: traženje potpisa poznatih web ljuski;
  • analiza najdužih žica. Često je zlonamjerni kod šifriran na način da se zaobiđu pretraživanja ključnih riječi. To čini redove koda posebno dugima, što ih čini uočljivim;
  • izračunavanje Shanononove entropije u izvorni kod. Svakom retku koda dodjeljuje se ocjena, na temelju koje se može prosuditi stupanj prijetnje;
  • tražiti zlonamjerni kod pomoću metode indeksa podudaranja.

Time se rješava jedan od glavnih problema otkrivanja web ljuske koji se odnosi na raznolikost jezika koji se koriste i mogućnost jednostavne izmjene. Ovi čimbenici ni na koji način ne utječu na rad AntiShell Web Shell Hunter, što ga čini univerzalnim i omogućuje korištenje za zaštitu bilo kojeg poslužitelja.

Budući da su datoteke koje nisu promijenjene od prethodnog skeniranja isključene iz obrade, AntiShell Web Shell Hunter ne stvara veliko opterećenje na poslužitelju. Osim toga, ovaj pristup skraćuje vrijeme provjere.

Istodobno, administratori mogu samostalno postaviti vrijeme skeniranja na temelju dnevnih fluktuacija opterećenja na poslužitelju. Ako je potrebno, dnevni način rada zamjenjuje se tjednim ili čak mjesečnim načinom rada, što vam omogućuje optimizaciju rada cijelog sustava.

Program otkriva datoteke koje sadrže web shell kod i daje administratoru sustava pune informacije prema objektu: datum i vrijeme kreiranja, ime vlasnika, dopuštenja i tako dalje.

Svi ovi podaci (ali ne i sami fajlovi) također idu u klijentski centar razvojne tvrtke, koji na temelju njih može pružiti podršku u obradi incidenta i istraživanju njegovih posljedica. Korisnici koji su pretplaćeni na plaćenu uslugu također mogu koristiti posebna korisnost preuzmite same zaražene datoteke za daljnju analizu.

Poruke o pronađenim objektima administratoru sustava šalje e-mail. On nema potrebu osobno nadzirati proces.

Do danas, AntiShell Web Shell Hunter jedini je alat fokusiran posebno na otkrivanje web ljuski. Brojne antivirusne aplikacije uključuju sličnu značajku, ali samo kao dodatnu opciju koja je prema zadanim postavkama onemogućena. U pravilu se oslanjaju isključivo na analizu potpisa, pa njihova učinkovitost ostavlja mnogo da se poželi.

Budući da je upotreba web ljuski za napad na poslužitelje sve češća, ima smisla zaštititi sustav specijaliziranim rješenjem. Kako se kaže, sigurnosti nikad nije previše.



Niste pronašli odgovor na svoje pitanje? Pogledaj ovdje
Instaliranje i konfiguriranje Ghostery Video za pomoćInstaliranje i konfiguriranje Ghostery Video za pomoć
Kako ukloniti početnu stranicu u pregledniku Google ChromeKako ukloniti početnu stranicu u pregledniku Google Chrome
Računalo se neočekivano ponovno pokrenulo ili je naišlo na neočekivanu pogreškuRačunalo se neočekivano ponovno pokrenulo ili je naišlo na neočekivanu pogrešku