24/6/2014
Backdoor w backdoorze? To możliwe. W kodzie popularnego php shell a o nazwie C99, który zazwyczaj znajduje się na serwerze na skutek podatności typu AFU/RFI odkryto błąd, który pozwala ominąć uwierzytelnienie i przejąć kontrolę nad backdoorem umieszczonym na czyimś serwerze.
Ponieważ niektórzy z administratorów wykorzystują tego shella, co już samo w sobie jest zaskakujące, w celach testowych/narzędziowych — radzimy zaprzestać tej praktyki, lub poprawić kod backdoora ;)
Warto też dodać że wszystkie te shelle mają ukryte Java-Scripty które wysyłają adres strony na której korzystamy z shella na zewnętrzne serwery.
Dowiedziałem się o tym bardzo szybko, gdy z mojego serwera zaczął wychodzić spam. Na szczęście zlokalizowanie tego kawałka kodu jest banalne. Eval i base64 decode w jednym od razu budzi wielkie wątpliwości.
to by wyjaśniało, dlaczego strona którą ‘hackłem’ nagle zaczęła przekierowywać na na jakieś chińskie reklamy…
ciekawe, że wiele razy zostawiałem shella i nic się nie działo, a to stało się akurat jakoś tydzień temu
Cóż…
Myślałem, że takie rzeczy zdarzają się tylko w dowcipach informatycznych, a tu proszę…
Teraz czekam już tylko na informację, że znaleziono backdoora w backdoorze w backdoorze.
Backdoor’a w backdoorze backdoor’u
Windows – Internet Explorer – Flash