LINUX.ORG.RU

Что за шелл код

 , , ,


0

1

Привет!

Накопал в Сети такой, на мой взгляд, нетипичный шелл код.

Поможет кто расшифровать все эти eval'ы и base64 ? Вроде на ЛОРе недавно была похожая тема.

★★★★★

Последнее исправление: Twissel (всего исправлений: 2)

Обычно это фигня, с помощью которой можно управлять файлами сервера жертвы, у которой этот файл разместили. На правах веб сервера, разумеется. Страница в вебе, в которой можно видеть какие файлы есть, их изменить или загрузить (с помощью команд PHP). А шифрует, чтоб автоматический поиск зловредных скриптов результатов не возвращал.

PHPFan
()

Можешь запустить virtualbox, создать машину с PHP, разместить этот файл в public WEB директории и посмотреть, что он тебе откроет. :) Только потом не забудь машину удалить. Мало ли чего там понапихано.

PHPFan
()
Ответ на: комментарий от PHPFan

Впрочем, не стоит - я декодировал (eval заменил на echo), он там при правильно переданных параметрах питается письмо отослать. Ничего интересного. :/

PHPFan
()

что ж тут нетепичного? шеллы всегда шифруют, как и обнаружение их на обратном построено - поиск по образцам (как и любых вирусов)

emptykiev
()
Ответ на: комментарий от PHPFan

А шифрует, чтоб автоматический поиск зловредных скриптов результатов не возвращал.

Это понятно. Вот ai-bolit его провтыкал.

Twissel ★★★★★
() автор топика
Ответ на: комментарий от emptykiev

что ж тут нетепичного?

Просто шеллы, которые я встречал до этого имели более компактное представление.

Twissel ★★★★★
() автор топика
Ответ на: комментарий от PHPFan

он там при правильно переданных параметрах питается письмо отослать.

Первым делом после заражения был удалён sendmail.

Twissel ★★★★★
() автор топика
Ответ на: комментарий от Twissel

В своё время на коленке вот такой скрипт написал.

https://bitbucket.org/inutcin/crow

Это не антивирь-сканер в привычном понимании. Помещается в корень сайта и ищет подозрительные куски кода, оставляя решение о том халяль это или харам за человеком.

Всегда его вслед за йаболитом прогоняю.

r_asian ★☆☆
()
Ответ на: комментарий от PHPFan

шифрует, чтоб автоматический поиск зловредных скриптов результатов не возвращал

Нормальный сканер на такое говно начинает орать в первую очередь.

WereFox ★☆
()

Почему бы просто не запустить в виртуалке и не просниффить что он делает?

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.