neomarki
9.06.2012, 21:19:24
Witam,
W ostatnim czasie miałem włamanie na stronę (na szczęście bez większych konsekwencji).
Na serwerze pozostał plik money$$$.php
W środku znajduje sie skonpresowany kod. Po jego uruchomieniu pojawia się następujący skrypt (przesyłam zrzut ekranu).
Spotkał się już ktoś z tym skryptem?
Substr
9.06.2012, 21:26:40
Szukaj w google "shell php".
darko
9.06.2012, 23:23:01
Wyszukiwanie obrazkiem kieruje do hasła "hacking shell"
Orzeszekk
10.06.2012, 00:51:54
pewnie niedostatecznie filtrowales upload plików i cos takiego sie przeslizgneło
wydaje mi sie ze ten pliczek to taki total commander serwera przez WWW, taki skompresowany Cpanel dajacy mozliwosci grzebania w serwerze osobie ktorej uda sie ten pliczek bez wiedzy wlasciciela strony na serwer wrzucic.
darko
10.06.2012, 00:55:43
Dokładnie, jak wspomniano wyżej, może to być AntiSecShell
Orzeszekk
10.06.2012, 01:11:26
filtrowanie po rozszerzeniu i MIME uploadu zapewne masz, natomiast sprawdz czy nie da sie podmienic .htaccess na serwerze podsyłajac uploaderem osadzonym na twojej stronie taki plik, i czy nie da sie wrzucic na strone kodu PHP w pliku GIF
ja np u siebie pozwalam tylko wrzucac obrazki, i kazdy uploadowany plik probuje otworzyc biblioteka imagemagick, nastepnie robie jego resize do rozmiaru orginalnego i zapisuje taki plik dopiero, wiec komentarze giną, a i .htaccess czy plik PHP sie nie przeslizgnie raczej przez takie cos.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.