Вниз по RogueAV и Blackhat SEO кроличья нора (часть 2)

В этом дневнике я продолжу анализ PHP-скрипта, который RogueAV используют на своих веб-серверах. Вы можете прочитать первый дневник на http://isc.sans.edu/diary.html?storyid=9085 ,

Теперь, когда мы понимаем, как работает отравление поисковых систем, мы можем увидеть некоторые особенности PHP-скрипта, который используют злоумышленники. Как я сказал в первом вопросе, сценарий был запутан, но все еще можно было понять, что они делают. Фрагменты кода, которые я буду показывать в этом и следующих дневниках, были на самом деле «украшены» и их было легче читать.

Заражение всего сайта

После взлома сайта злоумышленники устанавливают свой сценарий в любой каталог, предпочтительно в каталог, к которому нет прямого доступа из Интернета, поскольку им не требуется прямой доступ к нему.
Следующим шагом злоумышленников является заражение всех (и я имею в виду все!) Файлов PHP на скомпрометированном веб-сайте. Если это общий веб-сайт, а права доступа настроены неправильно, они фактически заразят абсолютно все веб-сайты, размещенные на этом компьютере.

Заражение состоит из вставки одной строки в начале каждого файла PHP, как показано ниже:

Заражение состоит из вставки одной строки в начале каждого файла PHP, как показано ниже:

Эта строка (которую я намеренно сократил) содержит небольшой PHP-скрипт, который просто закодирован в Base64. Таким образом, при доступе к любой веб-странице на скомпрометированном веб-сайте сценарий PHP атакующего запускается первым! Ниже приведен расшифрованный скрипт:

Ниже приведен расшифрованный скрипт:

Декодированная часть показывает, что делают злоумышленники:

  1. Если глобальная переменная msfn не установлена ​​и существует функция ob_start (это стандартная функция PHP), выполняется следующий код.
  2. Глобальная переменная настроена так, чтобы указывать на основной скрипт PHP (тот, о котором мы говорим - в этом примере он называется style.css.php). Обратите внимание, что он может находиться в любом месте на диске, если к нему имеет доступ процесс Apache.
  3. Если файл существует, он включен. Это приводит к выполнению основного сценария PHP и выполнению основной обработки. Я расскажу об этом процессе выполнения в следующих дневниках.
  4. Если основной PHP-скрипт работает правильно, он определит функции gml и dgobh, чтобы можно было выполнить последнюю строку. Это та часть, которая фактически отображает исходные веб-сайты и, если необходимо, добавляет ссылки на поисковые системы - я рассмотрел это в предыдущем дневнике.

Таким образом, злоумышленники позаботились о том, чтобы их скрипт выполнялся при каждом обращении к другому скрипту PHP на взломанном веб-сайте. Это дает им неограниченную свободу в использовании различных URL-адресов для отравления поисковых систем, но для перенаправления пользователей на сайты, обслуживающие RogueAV (или любое другое вредоносное ПО). Очистка веб-сайта после такого заражения не слишком сложна - все, что вам нужно сделать, это удалить первую строку, но, как и при любом заражении или компрометации, я бы порекомендовал вам восстанавливать файлы из резервных копий (вы делаете их, верно?).

Если вам интересно, как злоумышленники вставляют эту строку в каждый отдельный файл PHP, ответ прост - об этом позаботится специальная функция в главном сценарии PHP. Он рекурсивно обходит все каталоги, находит любые файлы PHP и, если он может их изменить, вставляет строку в начале. После того, как злоумышленники установят основной скрипт PHP (style.css.php), все, что ему нужно сделать, это вызвать скрипт с правильным параметром, как вы можете видеть на скриншоте ниже:

php), все, что ему нужно сделать, это вызвать скрипт с правильным параметром, как вы можете видеть на скриншоте ниже:

Этот интерфейс защищен паролем, поэтому вы не можете получить к нему прямой доступ без предварительной аутентификации. Для любопытных есть также функция, которая очищает весь сайт (параметр dgr = 1, возможно, для удаления), но доступ к нему также защищен паролем.

Боишься других нападающих?

Мастер PHP-скрипт состоит из десятков функций, которые выполняют различные задачи. Сегодня я расскажу о первых двух строчках, которые исполняются, поскольку они относительно интересны. Вы можете увидеть код PHP ниже:

Вы можете увидеть код PHP ниже:

Этот код делает что-то интересное. Он принимает содержимое суперглобальных $ _GET, $ _POST и $ _COOKIE, которые содержат параметры запроса и (конечно) содержимое cookie. Затем код немного перетасовывает содержимое, преобразует его во все строчные буквы и выполняет для него urldecode. Это нормализует любой контент (например,% 61 будет преобразован в нижний регистр a).

Наконец, код сравнивает это содержимое с любой строкой в ​​строке 12: «base64», «user_pass», «substring (», «or id =», «eval (», «nutch», «_ users», «union») all ',' mid ('. Если какое-либо из этих совпадений совпадает, сценарий немедленно завершается!

Это интересно, так как кажется, что автор сценария попытался реализовать очень простую систему обнаружения вторжений - обратите внимание, как она содержит строки SQL-инъекции или части кода PHP. Это не имеет большого смысла (особенно сопоставление SQL-инъекций), так как, например, основной сценарий PHP вообще не использует базу данных, поэтому мне интересно, была ли она частью другой программы, которую автор только что использовал.

И этим мы подходим к концу второго дневника. В следующем дневнике я расскажу о некоторых расширенных функциях PHP-скрипта, таких как автообновление, а также интерфейс администратора. Конечно, вы всегда можете связаться с нами, если у вас есть какие-либо вопросы.

-
Боян
INFIGO IS

Я буду учить следующее: Тестирование проникновения веб-приложений и этический взлом - SANS Эр-Рияд, апрель 2019 г.

Похожие

SEO услуги
Мы предлагаем SEO услуги в Лондоне для продвижения вашего сайта в поисковых системах. Основные основные направления деятельности нашей компании на протяжении многих лет в области поисковой оптимизации. Мы накопили огромный опыт и навыки, которые позволяют нам осуществлять весь комплекс мероприятий, чтобы обеспечить условия максимально эффективного продвижения и эффективной рекламы вашего сайта в Интернете.
SEO СЕГОВИЯ
«Когда ладья летит низко ...» Так начинается одно из самых повторяющихся высказываний в самые холодные дни Сеговской зимы. Что ж, если мы откроем руководство по птицам на страницах, посвященных воронкам, мы увидим, что есть вороны, вороны, галки и даже галки, но нет ладьи; Это потому, что это имя является чем-то общим, что используется для обозначения всех птиц среднего размера и черного цвета. Таким образом, эта запись предназначена для оценки различных видов воронок, присутствующих
Значение SEO
... SEO означает поисковую оптимизацию , что переводится как поисковая оптимизация . SEO - это группа методов, которая направлена ​​на улучшение позиционирования нужного сайта в списке результатов поисковой системы. Методы, используемые для SEO, включают: переписывание HTML-кода
Лос-Анджелес SEO
... частью веб-дизайна. Но что это значит точно? Дизайн включает в себя как принципы дизайна - баланс, контрастность, акцент, ритм и единство - так и элементы дизайна - линии, формы, текстуру, цвет и направление. Объединяя эти вещи, веб-дизайнер создает веб-сайты. Мы являемся ведущим поставщиком SEO в Лос-Анджелесе . Клиенты Лос-Анджелеса и клиенты в других областях приглашаются свяжитесь
SEO по-испански
Если вы ищете компанию, которая предлагает услуги Веб найти тебя это то, что вам нужно Если вы ищете компанию, которая предлагает услуги SEO на испанском языке, вам нужна WebFindYou. Мы являемся ведущей компанией, предлагающей услуги SEO на испанском языке. Говоря о SEO, мы имеем в виду сокращение вашего термина в английской поисковой оптимизации , которое состоит из
Мэриленд SEO | Мэриленд SEO Услуги
Добро пожаловать на MarylandSEOServices.net, виртуальный адрес для Мэриленд SEO Services. Мы предлагаем вечнозеленые и дружественные для поисковых систем сервисы, предназначенные для улучшения видимости веб-сайта вашего бизнеса в основных поисковых системах, таких как Google, чтобы привлечь больше кликов и трафика на ваш сайт, что приведет к увеличению числа клиентов для вашего бизнеса. SEO в Мэриленде определенно отличается от обычного SEO тем, что вы пытаетесь ранжироваться по поисковым
Даллас SEO Эксперты
В Inersche нам нравится помогать другим компаниям в их онлайн-брендинге и маркетинге. Мы направляем органический трафик в бизнес, который приносит больший доход. Это суть того, чего мы здесь хотим достичь. У нас есть возможность взять провальный бизнес и снова сделать его прибыльным - и все это с помощью SEO. Тем не менее, найти
Малые инструменты SEO
... SEO является абсолютно необходимым, если вы хотите улучшить свой бизнес, получив большую известность в Интернете. Вы должны быть оценены в верхней части результатов поиска, чтобы максимизировать шансы вашего сайта на привлечение потенциальных клиентов. Есть много различных методов и инструментов, которые вы могли бы использовать для проведения поисковой оптимизации. Однако, если вы управляете малым бизнесом, и у вас нет большого количества активов для назначения в целях SEO, вам необходимо
SEO каталоги 100% БЕСПЛАТНО
Все каталоги AnnuaireSeo гарантированы без обмена ссылками и на 100% бесплатны . Если вы найдете тот, который изменил вашу работу, не стесняйтесь дайте нам знать , Большинство из них дали нам приятную ссылку в нашей консоли поиска Google.
SEO Powersuite отзыв
Запустив этот инструмент, вы получите довольно хорошее представление о том, насколько здоров ваш сайт. Обнаружение проблем не может быть проще, чем быстрое сканирование вашего сайта. После завершения аудита вам будут показаны все ошибки, обнаруженные инструментом. На вкладке «Структура сайта» - «Аудит сайта» вы можете работать со списком легко исправляемых элементов, поскольку в правом окне вы сможете исправить ошибки. Первыми элементами, которые нужно отсортировать,
SEO-VIP | Что такое органическая SEO компания SEO SEO VIP?
SEO-VIP | Что такое органическая SEO компания SEO SEO VIP? Ни для кого не секрет, что «горячая линия» принесла новаторские новости для владельцев бизнеса и позволяет им получать целенаправленную и целенаправленную информацию для максимизации и увеличения своих продаж. Похоже, что среди многих направлений рекламы SEO является органическим и органическим.

Комментарии

Помните, как легко было найти мой веб-сайт, когда вы искали «Торонто SEO эксперт», «Торонто SEO услуги» или даже «SEO специалисты»?
Помните, как легко было найти мой веб-сайт, когда вы искали «Торонто SEO эксперт», «Торонто SEO услуги» или даже «SEO специалисты»? Это доказывает, насколько эффективными могут быть услуги SEO для вашего бизнеса! Я знаю, как использовать всю мощь органического SEO, и мой сайт - прекрасный пример того, как безупречно SEO-кампании могут работать и для вас.
SEO-VIP | Что такое органическая SEO компания SEO SEO VIP?
SEO-VIP | Что такое органическая SEO компания SEO SEO VIP? Ни для кого не секрет, что «горячая линия» принесла новаторские новости для владельцев бизнеса и позволяет им получать целенаправленную и целенаправленную информацию для максимизации и увеличения своих продаж. Похоже, что среди многих направлений рекламы SEO является органическим и органическим.
Например, больше людей ищут «SEO консультант» или «SEO услуги»?
Например, больше людей ищут «SEO консультант» или «SEO услуги»? «Флорист» или «Цветы»? «Стиральная машина» или «стиральная машина»? Хотя вы можете склоняться к более технически корректным «услугам SEO», вы можете обнаружить, что все больше людей на самом деле ищут «SEO-консультантов». Поэтому вам нужно будет использовать больше экземпляров «SEO-консультанта» в своей копии. Теперь вы готовы использовать эти 5 вопросов, чтобы максимально эффективно исследовать ключевые слова.
Au/seo/ тот, который не идеален и не поможет в SEO, может выглядеть примерно так: / productid?
Например, больше людей ищут «SEO консультант» или «SEO услуги»? «Флорист» или «Цветы»? «Стиральная машина» или «стиральная машина»? Хотя вы можете склоняться к более технически корректным «услугам SEO», вы можете обнаружить, что все больше людей на самом деле ищут «SEO-консультантов». Поэтому вам нужно будет использовать больше экземпляров «SEO-консультанта» в своей копии. Теперь вы готовы использовать эти 5 вопросов, чтобы максимально эффективно исследовать ключевые слова.
Когда вы будете использовать Blackhat SEO?
Когда вы будете использовать Blackhat SEO? Если вы использовали схему «быстро разбогатеть» или ночной бизнес, который у вас нет планов на долгосрочную перспективу, кроме как заработать немного быстрых денег без проблем, если позже они будут заблокированы в списках поисковых систем. Что такое Whitehat SEO? Whitehat SEO - это современный метод законного построения вашего бизнеса в рейтинге поисковых систем. Белая шляпа SEO в 2018 году основана
Я имею в виду, является ли последняя версия HTML настолько продвинутой с точки зрения SEO, что мы можем рассматривать ее как отдельное поле в SEO?
Я имею в виду, является ли последняя версия HTML настолько продвинутой с точки зрения SEO, что мы можем рассматривать ее как отдельное поле в SEO? Этот пост более подробно рассматривает последнюю итерацию HTML и проливает свет на обратную сторону HTML5 в SEO. Я действительно потратил лишнюю милю и прошел курс основ HTML5 от Envato, чтобы по-настоящему понять преимущества, которые он приносит в таблицу SEO. Таким образом, вы сможете принять обоснованное решение, если вашему сайту нужен HTML5 прямо
6. Могу ли я позволить себе эти инструменты SEO или программное обеспечение SEO?
6. Могу ли я позволить себе эти инструменты SEO или программное обеспечение SEO? Многие инструменты SEO идут с ежемесячной подпиской, которая может быть довольно дорогой. Причина этого в том, что большинство программистов SEO знают, что маркетинговые и SEO-агентства часто взимают королевский выкуп. Большинству из нас, вероятно, не хватает огромных денег на каждый инструмент SEO, который нам нужен. Так что не ломайте банк, чрезмерно расширяя свои финансы. Опять же, это
Должен ли акцент быть сделан на Onpage SEO или Offpage SEO?
Должен ли акцент быть сделан на Onpage SEO или Offpage SEO? Специалист или полный сервис? Фрилансер или агентство? Кто следующий Поисковая оптимизация Если вы хотите воспользоваться дополнительными услугами, вам следует искать более крупные агентства с более чем двумя сотрудниками и несколькими основными компетенциями. Вы должны скептически относиться к тому, что фрилансер
Черная шляпа SEO или белая шляпа SEO?
Черная шляпа SEO или белая шляпа SEO? Black Hat SEO работает! SEO или веб-мастеру сложно сказать обратное. Установив неэтичные методы SEO, веб-сайт будет быстро прогрессировать на первых результатах SERP и, следовательно, в видимости. Это означает больше трафика! Однако эта вводящая в заблуждение позиция не будет устойчивой. Поисковые системы больше не будут ссылаться на ваш сайт: ваш сайт не будет заинтересован. Поэтому SEO Black Hat должен создавать сайты очень
Можете ли вы использовать SEO и SMM, чтобы получить нужный трафик?
Можете ли вы использовать SEO и SMM, чтобы получить нужный трафик? Интернет-маркетинг прокладывает отличный путь для сайта или блога, чтобы быть видимым. Ваше присутствие в онлайн-мире будет определяться, если кто-то уже знает о вас и ищет вас, если вас упомянул другой человек или веб-сайт, или вы попадете в результаты поиска. Тогда будет вопрос, какая стратегия подойдет вам лучше всего: поисковая оптимизация или маркетинг в социальных сетях. Поисковая оптимизация (SEO)
Каковы 5 самых распространенных ошибок в стратегии SEO?
Каковы 5 самых распространенных ошибок в стратегии SEO? Я не собираюсь вас обманывать: разработка стратегии SEO сложна , намного сложнее , чем вы себе представляете, поэтому я хочу рассказать вам о пяти ошибках, которые вы всегда должны иметь в виду, чтобы не совершать их. Теперь, почему я знаю, что они являются наиболее типичными? Хорошо, я совершил их все в ReAplicante

Html?
Вы делаете их, верно?
Боишься других нападающих?
Но что это значит точно?
SEO-VIP | Что такое органическая SEO компания SEO SEO VIP?
Помните, как легко было найти мой веб-сайт, когда вы искали «Торонто SEO эксперт», «Торонто SEO услуги» или даже «SEO специалисты»?
SEO-VIP | Что такое органическая SEO компания SEO SEO VIP?
SEO-VIP | Что такое органическая SEO компания SEO SEO VIP?
Например, больше людей ищут «SEO консультант» или «SEO услуги»?
Например, больше людей ищут «SEO консультант» или «SEO услуги»?