PDA

Zobacz pełną wersję : web shell detector - szukanie tylnej furtki



Aristo25
23-03-2018, 14:30
hej
jakies sugestie czy opinie w kwestii skorzystania z "web shell detector" ?

adam.lachut
23-03-2018, 21:45
hej,

raczej się nie sprawdza:
- poprawnie wykrywa tylko oczywiste rzeczy (stare shelle),
- jako podejrzane wyrzuci curl_exec() czy eval() (ale nie wyrzuci strrev(lave)) i przy większym serwisie będzie sporo fałszywych trafień, ale jeśli nie masz dostępu do shella to zawsze coś
- zupełnie nie wykrywa np. uploaderów czy mniej oczywistych rzeczy

A.

Aristo25
24-03-2018, 06:05
zaryzykowalem, wgralem, przeskanowałem..wylistowal mi kilkaset podejrzanych plików
( z eval w treści
np.
var data = eval(<?php echo AkeebaHelperEscape::escapeJS($this->json,"'"); ?> ); .............. to jest poprawny kod Akeeby czy faktycznie podejrzany ?

4 pliki oznaczył jako Positive, it`s a devil(php) w tym 2 z katalogu temp przy update Akeeby

i teraz musze to posprawdzać..

adam.lachut
24-03-2018, 13:33
zaryzykowalem, wgralem, przeskanowałem..wylistowal mi kilkaset podejrzanych plików

o tym mówiłem: skrypt wyrzucił dużą listę fałszywych trafień (w tym ten przykładowy kod), a najprawdopodobniej pominął część złośliwych plików

druga, równie ważna sprawa, to usunięcie podatności: jeśli ktoś się raz włamał i przy oczyszczaniu nie zlikwidujesz "luki bezpieczeństwa", to ponownie ją wykorzysta

trzecia to blokada dostępu do strony na czas czyszczenia

i tak dalej...

A.

Aristo25
24-03-2018, 14:14
dzieki !!..prawde mówiąc obawiałem, że jakas proponowana aplikacja ( czyli dokładnie własnie ta ) zamiast obiecywanych pozytywnych efektów - czyli detekcja na przykład..wgra na serwer jakies swoje robaki i tylko pogorsze sytuacje :)..

Prawde mówiąc - tu nie jestem dokładnie pewny ale nic innego nie robiłem na serwerze poza uploadem plikow webshella i uruchomieniu skanowania - po skopiowaniu tych plików na serwer pojawił mi sie nagle jakis plik get.php w katalogu, w którym leży public_html ( skasowałem natychmisat, bo nie było go w plikach kopiowanych) oraz - juz po skanowaniu - nastapiła jakas awaria w systemie a dokładnie : 1. błąd i brak wyświetlenia sliderów oraz brak strony administratora zaplecza ( pojawiła sie czysta i pusta strona )
Po nocnym uploadzie oryginalnych plików strony przez ftp z twardego dysku sytuacja wróciła do normy ( strona wyświetla sie prawidłowo i panel zaplecza sie otwiera )...
i ciut nie daje mi to spokoju..