Računalniki Windows internet
Razširi
doma

PHPShell je php skript, ki vam omogoča izvajanje ukazov lupine na spletnem strežniku. Zlonamerni skript php lupine - kjer noge rastejo iz Kaj je php lupina

Pred kratkim sem na obsežnih prostranstvih interneta naletel na omembo " PHP lupina". Pred nekaj leti mi je ta pripomoček zelo pomagal, zdaj pa se želim nekako zadolžiti njegovemu razvijalcu Martinu Geislerju (http://mgeisler.net/).

Kaj je namen "PHP Shell"? Verjamem, da je vsak "napredni" spletni programer, kaj šele sistemski administratorji, naletel in uporabljal SSH. SSH nam omogoča oddaljeni dostop do strežnika in na njem izvajamo ukaze lupine (no, obstajajo vse vrste ukazov, kot so sprehodi po imenikih naprej in nazaj, gor in dol, premikanje, brisanje in kopiranje datotek, zagon skriptov in vse vrste pametnih pripomočkov ), kot da bi pripeljali do vašega monitorja sistemska enota podaljšal do neverjetnih velikosti in dosegel gostiteljev strežnik. Moram reči, da je mogoče tunelirati skozi ssh in X-grafiko, namizno sliko, ki prikazuje zagnane okenske aplikacije, vendar to očitno ni za spletne strežnike.

Skratka, če na svojem gostovanju nimate SSH, potem "kaj je narobe v danskem kraljestvu." Slaba stran je, da je SSH pogosto privzeto onemogočen na vašem "svežem" spletnem mestu in traja nekaj časa, da se prepirate s podporo, da ssh deluje. Prav to se je zgodilo tistega daljnega zimskega večera. Nujno sem moral prenesti spletno mesto z enega stroja na drugega, med katerim so se pojavile težave, in običajno sem posegel po bližnjici za kit na namizju, da bi videl, kaj je "znotraj" pacienta. Ups ... in podpora za ssh ni aktivirana. Kako biti? Če ste dovolj vešči programiranja v nekem tamkajšnjem jeziku, potem ne bo težko napisati majhne skripte, ki izvaja želeno nalogo. Odprl sem google in po nekaj povezavah našel omembo PHP Shell. Skratka, od doma sem odšel pravočasno.

V resnici sem imel veliko srečo, da sem imel dovolj zmanjšanih zmogljivosti lupine, ki mi jih je zagotovil PHP Shell – še vedno je le-ta imitacija.

V svojem jedru uporablja PHP Shell php funkcija- proc_open. Ta funkcija zažene ukaz in odpre V/I tokove, da v aplikacijo vnese nekaj informacij (posnema ročni vnos kot na tipkovnici) in izpiše rezultate dela (če veste, kaj so cevi, potem govorimo o njih ). Dejansko je funkcija proc_open izboljšana in razširjena različica funkcij exec ali sistem. Tisti pa so program samo zagnali in niso dali možnosti interakcije z njim, morali ste takoj v parametrih ukazna vrstica določite vse podatke, ki so potrebni za delovanje ukaza. proc_open vam omogoča ustvarjanje cevi, povezanih z vašim php-skriptom, in v skladu s tem lahko simulirate vnos podatkov v program in berete rezultate njegovega dela. Za ljubitelje brezplačno gostovanje Takoj ti povem:

"NE, Z lupino PHP NE BOSTE MOGLI DOBITI DOSTOPA SSH."

Bistvo je v tem, da je za brezplačno ali zelo poceni gostovanje običajno zagnati php v safe_mode. V njem so onemogočene številne funkcije, vključno s proc_open.

"NE, INTERAKTIVNE PROGRAMSKE OPREME NE BOSTE MOGLI UPRAVLJATI Z UPORABO PHPSHELL."

Že samo bistvo spleta nam pove, da na oddaljenem strežniku ni mogoče zagnati nekega programa, ki bi še naprej deloval in bi nam omogočal vnašanje in izpis podatkov med več ločenimi http zahtevami.

"NE, NE MORETE DOBITI DOSTOP DO VSEH PROGRAMOV, DATOTEK IN MAPA NA STRŽNIKU."

Skript se izvaja bodisi v imenu apache, potem pa so njegove zmožnosti omejene le z dejstvom, da so pravice do računa apache. Ali kot možnost, če se suexec uporablja na gostovanju (http://en.wikipedia.org/wiki/SuEXEC), bodo vaše pravice sovpadale s pravicami račun iz katerega se zažene skript php.

Predpostavimo, da vas to ne ustavi in ​​ste prenesli in razpakirali arhiv na vašem strežniku v mapo, recimo phpshell. Če v naslovno vrstico brskalnika vnesete "nekako-klicano-vaše-spletno mesto / phpshell / phpshell.php", potem boste pozvani, da se predstavite, vnesete svoje ime in geslo - seveda to niso poverilnice, ki ki ste ga prejeli od svojega gostitelja

Torej morate nastaviti dovoljenja: kdo lahko dostopa do lupine prek tega pripomočka. Če želite to narediti, poiščite razdelek z uporabniki v datoteki config.php in ji dodajte uporabniško ime in geslo v naslednji obliki:

Vasyano = skrivnost

Če vas zmede dejstvo, da je geslo nastavljeno v jasnem besedilu, lahko z datoteko pwhash.php ugotovite, kako se geslo md5 zloži in bo shranjeno v datoteki config.php

Zdaj poskušamo znova vstopiti in vstopiti v okno, kjer v spodnjem delu okna vnesemo ukaz, kliknemo "start" in nato se rezultat njegovega izvajanja prikaže na sredini okna strani

To je vse, morda ti bo phpshell nekako pomagal.

Zaznan je zlonamerni skript lupine WSO PHP /libraries/simplepie/idn/OpenIDOpenID.php (stran Joomla! 3). Na ta trenutek definirajo le nekateri protivirusni programi, kot so JS / SARS.S61, PHP: Decode-DE, Trojan.Html.Agent.vsvbn, PHP.Shell.354, php.cmdshell.unclassed.359.UNOFFICIAL.

Nekega "lepega" dne (tako je kot kdorkoli) je eden od naših varovancev (http://ladynews.biz) zaradi skeniranja svojega spletnega mesta s protivirusnim gostovanjem prejel to sporočilo:

V računu so bile najdene datoteke z zlonamerno vsebino. Močno priporočamo, da omejite dostop do svojega računa FTP samo z naslovov IP, ki jih uporabljate, in uporabite protivirusno zaščito, da preverite svoj račun za viruse. Oglejte si naše smernice za varnost in preprečevanje vdorov, da preprečite ponovno okužbo.

Seveda je bilo predlagano, da bi se spopadli s to sramoto - skeniranje s standardnim protivirusnim programom ClamAV z naborom privzetih protivirusnih baz podatkov ni dalo nobenega dodatnega rezultata.

V času začetka te zgodbe (2015-10-23) ta skript virusne lupine ni bil v protivirusnih bazah podatkov večine protivirusnih programov, vključno s takšnimi "pošasti", kot so Comodo, DrWeb, ESET-NOD32, GData, Kaspersky , McAfee, Microsoft, Symantec, TrendMicro itd., kar je potrdil tudi spletni skener VirusTotal 23.10.2015. Le nekaj protivirusnih programov je uspelo prepoznati zlonamerni skript PHP:

Datum rezultata protivirusnega programa za posodobitev AhnLab-V3 JS/SARS. S61 20151022 Avast PHP: Decode- DE [Trj] 20151023 NANO- Protivirusni trojanec. Html Agent. vsvbn 20151023

Istega dne sta bila ClamAV in Dr.Web obveščena o odkritju zlonamernega skripta. ClamAV še vedno trmasto molči, Dr.Web pa se je na zlonamerni paket odzval v 24 urah:

Vaša zahteva je bila analizirana. Ustrezen vnos je bil dodan v virusno bazo Dr.Web in bo na voljo ob naslednji posodobitvi.

Grožnja: PHP.Shell.354

Dr.Web je držal obljubo in virusni skript OpenIDOpenID.php je zdaj definiran kot PHP.Shell.354, vendar pa številni protivirusni programi, kot so ClamAV, Comodo, DrWeb, ESET-NOD32, GData, Kaspersky, McAfee, Microsoft, Symantec, TrendMicro, itd. o tem še nimajo pojma (od 25.10.2015).

Ok, datoteko smo izbrisali, toda kako dolgo? Od kod je prišel, lahko samo ugibamo. Kaj je naslednje? Začnemo postavljati vse vrste komponent Securitycheck in zasukati pravila v .htaccess, ki prepovedujejo dostop do vsega in vsakogar, ker pri deljenem gostovanju (aka deljeno gostovanje, deljeno gostovanje) nimamo pooblastil za več. Kako dolgo bodo ti ukrepi prihranili, nihče ne ve.

Mimogrede, na temo vseh komponent Securitycheck ... Securitycheck je komponenta za Joomla! in precej dobro. In tukaj je določena "protivirusna zaščita spletnega mesta", ki jo zelo odsvetujem od uporabe, tukaj je preizkušen pregled o tej "protivirusni zaščiti spletnega mesta":

Ta komponenta ustvari tudi datoteko pack.tar v vašem / tmp, ki vsebuje vaš configuration.php in vsa druga najdena gesla! ZAVEDAJ SE

Kar v prevodu pomeni: »ta komponenta tudi ustvarja rezerva celotno spletno mesto v datoteki /tmp/pack.tar, ki vsebuje configuration.php z gesli iz baze! BODITE PREVIDNI "- to pomeni, da" Zaščita spletnega mesta "ne diši po tej komponenti, kar bi moralo žrtev tudi navesti na razmišljanje o spremembi poti do imenikov / logs, / tmp, / cache in zavrnitvi dostopa do njih.

S klikom na to povezavo lahko razumete, da je težava stara vsaj več kot eno leto. Če pogledamo tukaj, bomo razumeli, da maskiranja skripta lupine ne izvaja zapletena base64_encode / gzdeflate, kar pomeni, da mora nekje drugje obstajati del, ki kliče / povezuje OpenIDOpenID.php in izvaja base64_decode / gzinflate. To pomeni, da je OpenIDOpenID.php le rezultat (aka posledica) in ne razlog, da se žrtev pritožuje, da je strežnik začel pošiljati neželeno pošto v industrijskem obsegu, in ročno odstranjevanje zlonamerne datoteke ne pomagajo, potem pa žrtev nima nikogar, nad katerim bi se pritoževala, razen zaradi gostovanja NIC-RU. Navidezno gostovanje, ki pušča, je lahko zelo dobro. tudi pogosto IMHO ljudje delajo tam za plačo in ne za idejo, v nekaterih primerih pa je problem lahko veliko globlji.

Na primer, "Zlonamerni iFrame injektor je zaznan v datoteki Adobe Flash". Mislim, da za nikogar ni skrivnost, da lahko v Flashu pišete vmesnike za nalaganje datotek na spletno mesto in v ActionScript počnete veliko drugih zanimivih stvari. Virus v datotekah .swf ( Adobe flash), kot je pokazala praksa, lahko leta ostanejo neopaženi in so črna vrata na spletnem mestu ( aka zadnja vrata - zadnja vrata), skozi katere se "vržejo" datoteke, kot je "OpenIDOpenID.php", ki jih je mogoče izbrisati do modrega obraza in brez uspeha.

Kaj storiti, kako najti "šibko povezavo" med tisočimi datotekami? Če želite to narediti, morate uporabiti tako imenovano hevristično analizo in v nekaterih primerih uporabiti protivirusne baze podatkov tretjih oseb. Upoštevati je treba, da lahko hevristična analiza, odvisno od njenih nastavitev, da veliko lažnih pozitivnih rezultatov kot pri uporabi dodatnih virusnih podpisov razvijalcev tretjih oseb.

Kje lahko dobim protivirusne baze drugih proizvajalcev? Na primer, zbirke podatkov s protivirusnimi podpisi tretjih oseb za ClamAV lahko brezplačno dobite na www.securiteinfo.com, malwarepatrol.net, rfxn.com. Kako uporabim te dodatne protivirusne baze podatkov? To bo povsem druga zgodba. Lahko rečemo le, da so dodatne protivirusne baze za ClamAV iz rfxn.com (projekt LMD (Linux Malware Detect)) namenjene iskanju zlonamerne programske opreme v spletnih aplikacijah in dajejo boljše rezultate. rfxn.com tudi navaja, da 78 % groženj, katerih prstni odtisi so v njihovi bazi podatkov, ne zazna več kot 30 komercialnih protivirusnih programov – in najverjetneje jih.

Torej ... Kako se je končala zgodba z zlonamernim skriptom lupine PHP OpenIDOpenID.php?

Odločeno je bilo, da se zaloge dodatnega protivirusne baze podatkov za ClamAV z malwarepatrol.net in rfxn.com, prenesite varnostno kopijo datotek spletnega mesta in jih skenirajte lokalno, tukaj je rezultat skeniranja:

$ clamscan / ladynews.biz / ../ game_rus.swf: MBL_647563.NEURNO NAJDENO / ../ farmfrenzy_pp_rus.swf: MBL_647563.NEURNO NAJDENO / ../ beachpartycraze_rus. / loader_rus.swf: MBL_647563.NEURADNO NAJDENO ----------- POVZETEK PREGLEDA ----------- Znani virusi: 4174348 Različica motorja: 0.98.7 Pregledani imeniki: 3772 Pregledane datoteke: 18283 Okuženih datotek: 5 Skupno napak: 1 Prebranih podatkov: 417,76 MB Branje podatkov: 533,51 MB (razmerje 0,78: 1) Čas: 1039,768 s (17 m 19 s)

/libraries/simplepie/idn/OpenIDOpenID.php kot zgoraj omenjene datoteke .swf so bile izbrisane, vendar je težava rešena? Zaenkrat je težko reči - kopamo naprej ...

Iz dešifrirane različice datoteke /libraries/simplepie/idn/OpenIDOpenID.php(http://pastebin.com/WRLRLG9B), tako da si ogledate konstanto @define ("WSO_VERSION", "2.5"); , postane jasno, da gre za izdelek, imenovan WSO. Po malom kopanju omrežja za ključno besedo WSO smo dobili naslednje rezultate:

Izkazalo se je, da tema že dolgo ni nova, zato izberemo regexxer v zobeh, nadaljujemo z zbiranjem datotek spletnega mesta in najdemo: Napaka pri odpiranju imenika "/ home / user / libraries / joomla / cache / controller / cache ": Dostop zavrnjen

Aja, tu si, s.ka še kje seranulo! Pogledamo pravice do imenika, ki ne bi smeli biti privzeto, = chmod 111 (aka Run for Owner / Group / All). Tako nekaj sedi nekje in se širi po katalogih ter se skriva celo pred virusi s chmod 111.

Ko sem namestil chmod 551 za katalog in pogledal v notranjost, je bilo najdeno /libraries/joomla/cache/controller/cache/cache/langs.php, katerega izvorna koda je na voljo tukaj: http://pastebin.com/JDTWpxjT - imenik / knjižnice / joomla / predpomnilnik / krmilnik / predpomnilnik izbrisati.

Super, zdaj smo uredili chmods za vse datoteke in imenike:

# množična sprememba pravic (chmod) za datoteke v imeniku./dirname in spodaj najdi / doma / uporabnik / public_html -type f -exec chmod 644 () \; # dovoljenja za množično spreminjanje (chmod) na. / dirname in spodaj najdi / doma / uporabnik / public_html -type d -exec chmod 755 () \;

Še enkrat ponovimo protivirusno preverjanje z dodatnimi bazami podatkov clamscan /ladynews.biz, vendar je menda vse čisto.

Ponovimo iskanje datotek z regexxerjem in poskusimo iskati po ključne besede OpenIDOpenID, OpenID ali WSO - in prišli smo do zaključka, da se je p.det izkazal za veliko širšega in globljega:

  • - ne bi smelo biti tukaj, tukaj je njegov vir: http://pastebin.com/jYEiZY9G
  • /administrator/components/com_finder/controllers/imagelist.php- ne bi smelo biti tukaj, tukaj je njegov vir: http://pastebin.com/0uqDRMgv
  • /administrator/components/com_users/tables/css.php- ne bi smelo biti tukaj, tukaj je njegov vir: http://pastebin.com/8qNtSyma
  • /administrator/templates/hathor/html/com_contact/contact/toolbar.trash.html.php- ne bi smelo biti tukaj, tukaj je njegov vir: http://pastebin.com/CtVuZsiz
  • /components/com_jce/editor/tiny_mce/plugins/link/img/Manager.php- ne bi smelo biti tukaj, tukaj je njegov vir: http://pastebin.com/2NwTNCxx
  • /libraries/joomla/application/web/router/helpsites.php- ne bi smelo biti tukaj, tukaj je njegov vir: http://pastebin.com/ANHxyvL9
  • /plugins/system/ytshortcodes/XML.php- ne bi smelo biti tukaj, tukaj je njegov vir: http://pastebin.com/GnmSDfc9
  • /templates/index.php - ne bi smelo biti tukaj, tukaj je njegov vir: http://pastebin.com/gHbMeF2t

/administrator/components/com_admin/index.php in /templates/index.php sta bila verjetno vnosna skripta, ki je izvajala glavno kodo z uporabo zelo zastarele funkcije eval (), ki je uporabljala tudi:

No, logika prikrivanja zlonamerne kode je jasna. Zdaj, če iščemo konstrukcijo "eval ($", bomo našli veliko več zanimivih stvari:

  • /administrator/components/com_admin/sql/updates/postgresql/php.php- http://pastebin.com/gRHvXt5u
  • /components/com_kunena/template/blue_eagle/media/iconsets/buttons/bluebird/newsfeed.php -
  • /components/com_mailto/helpers/index.php -
  • /components/com_users/views/login/file.php -
  • /components/com_users/controller.php- okužen in zahteva zamenjavo!
  • /includes/index.php -
  • /libraries/joomla/string/wrapper/section.php -
  • /libraries/legacy/access/directory.php -
  • /libraries/nextend/javascript/jquery/InputFilter.php -
  • /libraries/nextend/smartslider/admin/views/sliders_slider/tpl/config_tinybrowser.php -
  • /libraries/xef/assets/less/admin.frontpage.php -
  • /media/editors/codemirror/mode/rust/Alias.php -
  • /modules/mod_kunenalatest/language/zh-TW/smtp.php -
  • /modules/mod_kunenalogin/language/de-DE/XUL.php -
  • /plugins/content/jw_allvideos/jw_allvideos/includes/js/mediaplayer/skins/bekle/CREDITS.php -
  • /templates/sj_news_ii/html/mod_sj_contact_ajax/toolbar.messages.php -

Vsi še vedno virusni PHP skripti nimajo kode, objavljene na pastebin.com, ker je dovoljenih le 10 objav v 24 urah. V splošni red odstranitev je približno naslednja:

Da, skoraj sem pozabil - preden začnem odstranjevati zlonamerne skripte, ne bo škodilo, če v .htaccess dodate več pravil, ki prepovedujejo neposreden dostop do vseh datotek .php v katerem koli imeniku, dovoljujejo pa dostop samo do korenskih datotek / ali /index .php in / administrator / ali /administrator/index.php - to bo neprijetnemu napadalcu preprečilo dostop do dohodnih skriptov lupine, skritih v različnih sistemskih imenikih:

(pub) (/ pub) (reg.)

# --- +++ ZAŠČITI NEKATERE DATOTEKE IN IMENIK +++ ---# RewriteCond% (REQUEST_URI)! ^ / ((Indeks) + \. Php |. * \. (Htm | html | txt | xml) | + |. * / + |. * /. * \. (Css | js | jpg | jpeg | png | gif | ico | eot | svg | ttf | woff | woff2 | html) +)? $ RewriteCond% (REQUEST_URI)! ^ / (skrbnik) + / (indeks \ .php)? $ RewriteRule ^ (. *) $ - # # --- +++ // ZAŠČITENO NEKATERE DATOTEKE IN IMENIK +++ ---

UPD 28.10.2015: No, kaj? Ste že sproščeni? Prezgodaj je...

Zdaj pa poglejmo v divjini datotek spletnega mesta za binarne datoteke, ki sploh ne bi smele biti v motorju:

najde / moja pot / -izvedljiva -vrsta f najdi / moja pot / -vrsta f -perm -u + x najde / moja pot / -vrsta f | xargs datoteka | grep "\: \ * podatki $"

Kdor išče, bo vedno našel (binarne):

  • /modules/mod_p30life_expectancy_calc/tmpl/accordian.pack.js
  • /images/stories/audio/34061012-b1be419af0b9.mp3
  • /libraries/xef/sources/folder/navigation.php
  • /libraries/joomla/application/web/application.php
  • /libraries/joomla/document/json/admin.checkin.php
  • /libraries/nextend/assets/css/LICENSES.php
  • /libraries/fof/config/domain/toolbar.categories.html.php
  • /libraries/fof/form/field/client.php
  • /libraries/phputf8/sysinfo_system.php
  • /components/com_mobilejoomla/index.php
  • /components/com_mobilejoomla/sysinfo_system.php
  • /components/index.php
  • /components/com_banners/sysinfo_config.php
  • /components/com_kunena/views/home/admin.checkin.php
  • /components/com_jce/editor/tiny_mce/plugins/source/js/codemirror/toolbar.checkin.php
  • /components/com_jce/editor/tiny_mce/plugins/colorpicker/admin.cache.php

Naj povzamemo

Ni bilo mogoče zanesljivo ugotoviti, od kod so zrasle noge te okužbe, ali je kriv nedavno najdeni v motorju kritična ranljivost dovoljuje injekcijo SQL in stopnjevanje privilegijev, ali zgoraj omenjene datoteke .swf, označene kot zlonamerne, ali kakšno ranljivost, ki še ni bila odkrita v eni od komponent ali vtičnikov tretjih oseb, ali puščajoče virtualno spletno gostovanje, ostaja vprašanje odprto?

Trenutno odkrito zlonamerne datoteke očiščene, datoteke motorja so v celoti na novo naložene, pravila v .htaccess so barikade ... Kdo ima čas in ga zanima sestaviti in pobrati ta kup sranja, si lahko naloži arhiv wso-php-shell-in -joomla.zip - vse našteto so tam pakirane zlonamerne datoteke PHP, arhivsko geslo: www.site

SKUPAJ: Paranoje ni nikoli preveč in vsak brezplačen ali komercialni protivirusni program s svojo hevristiko skupaj z dodatnimi bazami podpisov še zdaleč ni rešitev. Zato so vsi protivirusni programi zastarelo orodje za zaščito aktivnega večuporabniškega okolja in za preprečevanje različnih neznanih groženj morate uporabiti paranoidne zaščitne metode, na primer: virtualizacija, SELinux, Bastille Linux, nespremenljiv bit, ecryptfs itd!

  • Grožnja: spletna lupina WSO PHP
  • Žrtev: ladynews.biz

Večina napadov na vire podjetja vključuje vbrizgavanje spletnih lupin – kode, ki omogoča nadzor okuženih strojev zunaj omrežja. AntiShell Web Shell Hunter je varnostno orodje, ki vključuje nabor mehanizmov za odkrivanje spletnih lupin.




Spletna lupina je skript, ki se naloži na strežnik in služi za upravljanje na daljavo. Zlonamerno postane le, če ga nadzoruje napadalec. In v tem primeru predstavlja resno grožnjo.

Okuženega strežnika ni treba povezati z internetom – lahko se nahaja v notranjem omrežju podjetja. Nato se spletna lupina uporablja za dostop do drugih gostiteljev s kritičnimi aplikacijami ali informacijami.

Za pisanje spletnih lupin lahko uporabite kateri koli jezik, ki ga podpira ciljni spletni strežnik. V praksi se najpogosteje uporabljata PHP in ASP, saj sta najbolj priljubljena. Razširjeni so tudi zlonamerni programi na lupini Perl, Ruby, Python in Unix.

Spletne lupine so nameščene na dokaj standarden način za zlonamerne aplikacije – z uporabo ranljivosti v CMS oz. programsko opremo spletni strežnik. Po tem delujejo kot zaledna vrata, ki napadalcem omogočajo izvajanje poljubnih ukazov na oddaljenem računalniku, vključno z vbrizgavanjem izsiljevalne programske opreme ali zagonom napadov na druge strežnike.

Posebna nevarnost spletnih lupin je njihova relativna preprostost. Spreminjanje skripta, ki ima za posledico drug program, je naloga, ki jo lahko obvlada celo začetnik. Zaradi te kakovosti je s standardnimi protivirusnimi orodji težko zaznati spletne lupine.

Tako kot drugi zlonamerna programska oprema, lahko spletne lupine prepoznamo po številnih zunanjih funkcijah. Vendar pa se velik del njih lahko nanaša tudi na popolnoma zakonite datoteke, zato je treba vse sumljive kazalnike obravnavati v kompleksu, pri čemer analiziramo celotno sliko in ne njenih fragmentov.

Možni indikatorji prisotnosti spletne lupine na strežniku so lahko:

  • obdobja nenormalno visoke obremenitve strežnika;
  • prisotnost datotek s sumljivim časovnim žigom (na primer pozneje kot čas Zadnja posodobitev ON);
  • Razpoložljivost sumljive datoteke na mestih, dostopnih z interneta;
  • prisotnost datotek, ki vsebujejo povezave do cmd.exe, eval in podobno;
  • prisotnost sumljivih pooblastil iz notranjega omrežja;
  • prisotnost datotek, ki ustvarjajo nenavaden promet.

Očitno "ročna" analiza v tem primeru, če je le mogoče, zahteva preveč človeških virov, zato je njena uporaba brez kakršne koli praktične izvedljivosti. Garhi Technology's AntiShell Web Shell Hunter avtomatizira ta postopek in trdi, da zajamčeno prepozna vse znane spletne lupine.

Aplikacija temelji na naslednjih tehnologijah:

  • iskanje po ključnih besedah. Vse datoteke se pregledajo za besede in ukaze, ki so lahko povezani z napadom;
  • analiza podpisov: iskanje podpisov znanih spletnih lupin;
  • analiza najdaljših vrstic. Pogosto je zlonamerna koda šifrirana tako, da zaobide iskanje po ključnih besedah. Zaradi tega so vrstice kode še posebej dolge, zaradi česar jih je mogoče zaznati;
  • izračun Shannonove entropije v izvorno kodo... Vsaki vrstici kode je dodeljena ocena, na podlagi katere lahko ocenite stopnjo ogroženosti;
  • iskanje zlonamerne kode z metodo indeksa naključja.

To rešuje enega od glavnih problemov zaznavanja spletne lupine, ki je povezan z različnimi uporabljenimi jeziki in možnostjo enostavnega spreminjanja. Ti dejavniki ne vplivajo na delovanje AntiShell Web Shell Hunter, zaradi česar je univerzalen in se lahko uporablja za zaščito katerega koli strežnika.

Ker so datoteke, ki niso bile spremenjene od prejšnjega skeniranja, izključene iz obdelave, AntiShell Web Shell Hunter strežnika ne obremeni veliko. Poleg tega ta pristop skrajša čas preverjanja.

Hkrati lahko skrbniki samostojno nastavijo čas skeniranja glede na dnevna nihanja obremenitve strežnika. Po potrebi se dnevno rutino nadomesti s tedensko ali celo mesečno, kar vam omogoča optimizacijo delovanja celotnega sistema.

Program zazna datoteke, ki vsebujejo kodo spletne lupine, in zagotovi skrbnika sistema popolne informacije po predmetu: datum in čas nastanka, ime lastnika, pravice itd.

Vsi ti podatki (ne pa tudi datoteke same) gredo tudi v center za odjemalce razvojnega podjetja, ki lahko na njihovi podlagi nudi podporo pri obravnavi incidenta in preiskovanju njegovih posledic. Uporabijo lahko tudi stranke, ki so naročene na plačljivo storitev poseben pripomoček sami prenesite okužene datoteke za nadaljnjo analizo.

Sporočila o najdenih predmetih administratorju sistema pošlje E-naslov... Ni mu treba osebno spremljati procesa.

Danes je AntiShell Web Shell Hunter edino orodje, ki je posebej namenjeno odkrivanju spletnih lupin. Številne protivirusne aplikacije vključujejo podobno funkcijo, vendar le kot dodatno možnost, ki je privzeto neaktivna. Praviloma se zanašajo le na analizo podpisov, zato je njihova učinkovitost slaba.

Ker je uporaba spletnih lupin za napad na strežnike vse pogostejša, je smiselno sistem zaščititi s specializirano rešitvijo. Kot pravi pregovor, varnosti nikoli ni preveč.



Niste našli odgovora na svoje vprašanje? Poglej tukaj
Linkedin – kaj je in kako vam LinkedIn lahko pomaga najti vašo sanjsko službo Profesionalno omrežje LinkedinLinkedin – kaj je in kako vam LinkedIn lahko pomaga najti vašo sanjsko službo Profesionalno omrežje Linkedin
DDoS zaščita: DDoS GUARD - vaše varno gostovanjeDDoS zaščita: DDoS GUARD - vaše varno gostovanje
Pametne telefone Windows je zdaj mogoče posodobiti z osebnim računalnikomPametne telefone Windows je zdaj mogoče posodobiti z osebnim računalnikom