Keresés hátsóajtó a szerveren, stackoff
Ebben a jelentésben fogunk összpontosítani, hogyan lehet megtalálni egy backdoor a szerveren. Leggyakrabban a jelenlétét rosszindulatú kód érintő fokozott terhelés a szerveren. Ez annak a ténynek köszönhető, hogy a különböző internetes kagyló önmagukban nem érdekes, és csak arra szolgálnak, hogy irányítsák az információ vagy a szerver protroyanivaniya. Arról, hogy milyen támadók sikerült a fájlokhoz való hozzáférés vagy adatbázis később ismertetjük egy másik cikkben. Itt csak megmondani, hogy mi veszélyeztetheti a biztonsági réseket, és hogyan kell megtalálni és eltávolítani a hátsóajtó.
Abban az esetben, minden felhasznált CMS és a motorok kell készíteni arra, hogy előbb-utóbb valaki talál egy biztonsági rést a rendszerben, és proekspluatirovat akkor férhetnek hozzá az adataihoz. Ha egy hacker megtalálta a módját, például lehet feltölteni a fájlokat a szerver azt kell elérni a funkciója ugyanaz php vagy konzolon. Vannak különböző web-Shelley, aki szintén használja néhány web-Mastera gyors hozzáférést biztosít a fájlok, mysql, és így tovább. Inkább parancsok futtatására a script használ a különböző funkciókhoz php. Itt egy részleges lista az ilyen:
A web héj néz ki:
Megjelenése shell WSO2 web
Ez elég gyakori web héj, van egy jól ismert, például b374k-shell. Úgy néz ki, mint ez:
Megjelenése web shell b374k
A fő funkcióit kagyló:
- információk megjelenítéséhez a szerver
- dolgozni fájlok és mappák, valamint a hozzáférési jogokat őket
- SQL manager
- PHP kód futtatását
- bindport és a back-csatlakozás (dial-up kapcsolat)
A többi funkcióját íze és színe. Mindez illeszkedik a mérete kisebb, mint 50 kilobyte.
Jellemzően ezek parancsfájlminták esni, és más módszerekkel akadályozza a forráskód olvasás. De az alapja a működése még mindig fent leírt funkciókat.
Ahhoz, hogy megtalálja backdoors sok eszközöket, mint például a WordPress blogírás motor van egy speciális plug-inek, az egyik ilyen kihasználják-szkenner. Szeretnék mutatni egy utat keresni a konzolon keresztül, azaz organikus keresési szöveget fájlokat.
Mi használjuk a grep parancsot.
A keresés után a /var/www/backlist.txt fájl lesz az út a fájlokat, hogy illeszkedjen a követelményeknek. Az én esetemben kiderült az alábbi listából:
Ebben az egyszerű módon varrt a gyanús fájlokat, hogy meg kell vizsgálni, és küldje be a sütőbe.