În acest raport ne vom concentra asupra modului de a găsi un backdoor pe server. Cel mai adesea, prezența de cod malițios care afectează suprasolicitării pe server. Acest lucru se datorează faptului că diverse site-cochilii nu sunt în sine interesante, și servesc doar pentru a ghida pentru informații sau server protroyanivaniya. Despre modul în care atacatorii au reușit să obțină accesul la fișiere sau baze de date vor fi descrise mai târziu, într-un alt articol. Aici voi spune doar despre ceea ce ar putea amenința găurile de securitate și de modul de a găsi și elimina backdoor.
În cazul utilizării oricărui CMS și motoarele trebuie să fie pregătiți pentru faptul că, mai devreme sau mai târziu, cineva găsește o vulnerabilitate în sistem și proekspluatirovat va avea acces la datele dumneavoastră. Odată ce un hacker a gasit o modalitate, de exemplu, pentru a încărca fișiere pe serverul dvs. trebuie să acceseze funcțiile de aceeași PHP sau consola. Există diferite de web-Shelley, care folosesc, de asemenea, unele web-Mastera pentru acces rapid la fișiere, MySQL și așa mai departe. Tind pentru a rula comenzi în script-ul folosește aceste diferite funcții PHP. Aici este o listă parțială de astfel:
O coajă de web arată astfel:
Aspect coajă WSO2 web
Este coajă de web destul de comună, există o mai bine-cunoscut, de exemplu, b374k-shell. Se pare ca acest lucru:
Aspect coajă web b374k
Funcția principală a cochilii:
- afișa informații despre serverul
- lucrați cu fișiere și foldere, precum și drepturile de acces la acestea
- Manager de SQL
- Cod PHP Executie
- bindport și back-conexiune (conexiune dial-up)
Celelalte funcții de gust și culoare. Toate acestea se potrivește într-o dimensiune mai mică de 50 kilobytes.
De obicei, aceste scripturi folosesc disimulare și alte metode pentru a împiedica citirea codului sursă. Dar baza pentru funcționarea lor sunt încă deasupra funcțiilor descrise.
Pentru a găsi backdoors există mai multe instrumente, cum ar fi motor de blogging WordPress are un plug-in-uri speciale, una dintre aceste exploata-scanner. Vreau să arăt o modalitate de a căuta prin intermediul consolei, și anume text de căutare organice în fișiere.
Noi folosim comanda grep.
După căutarea fișierul /var/www/backlist.txt va fi calea către fișierele care se potrivesc cu cerințele noastre. În cazul meu am dovedit lista de mai jos:
În acest mod simplu am cusut fișiere suspecte pe care trebuie să ia în considerare și să trimită în cuptor.