سلام .

مشخصات سرور :
Centos64
Apache 2+
WHM/Cp

دوستان چند روزه بدجوری با شل C99 دچار مشکل شدیم ، یعنی هر کاری میکنم نمیتونم جلو کارکردش رو بگیرم ، در این سایت قبلا مقالاتی منتشر شده ولی باید بگم متاسفانه هیچکدوم ! کاربردی ندارند . این تاپیک رو زدم تا یه فکر اساسی برای مقابله با شل ها بکنیم .
برای مثال من Calm رو نصب کردم ، و توابع زیر رو هم غیرفعال کردم :

myshellexec escapeshel lcmd symlink ini_restore ini_set PHP_SELF phpinfo safe_mode ctrl_dir tmp show_source system passthru http_host diskfreespace phpini systemroot get_current_user HTTP_HOST php_uname popen pclose exec shell_exec suExec passthru pclose proc_open proc_nice proc_terminate proc_get_status proc_close pfsockopen leak apache_child_terminate posix_kill posix_mkfifo posix_setpgid posix_setsid posix_setuid escapeshellcmd escapeshellarg ls mv base64_encodem base64_decode

اما باز هم نسخه کد شده ی شل به خوبی کار میکنه یعنی قادره فایل های اکانت رو حذف و ویرایش کنه . نکته جالب اینه که تنها تابع موثر تابع base64_decode هست که با غیر فعال کردن اون عملا شل ها از کار می افتن ولی مشکل بزرگتر اینه که همراه با شل ها هر سایتی که قسمتی از سورسش رو روی بیس 64 کد کرده هم از کار می افته .پس بستن اون مقدور نیست ، یه راه کاری بدید که بشه مقاومت کرد .
من روی سرورهای دوستان دیدم که بعضی مواقع شل بالا میاد ولی عملا کارایی نداره یعنی قادر به حذف یا ویرایش فایل ها نیست !

__________
در mod security هم فرمان های زیر رو اضافه کردم ولی اثری نداشت :

SecRule RESPONSE_BODY "r57shell - http-shell by RST/GHC"
SecRule RESPONSE_BODY "/* (c)oded by 1dt.w0lf"
SecRule RESPONSE_BODY "/* RST/GHC http"
SecRule RESPONSE_BODY "x2300 Locus7Shell"
SecRule RESPONSE_BODY "UNITED ALBANIANS aka ALBOSS PARADISE"
SecRule RESPONSE_BODY "C99 Modified"
SecRule RESPONSE_BODY "c999shell v."
SecRule RESPONSE_BODY "RootShell Security Group"
SecRule RESPONSE_BODY "Modded by Shadow & Preddy"
SecRule RESPONSE_BODY "Owned by hacker"

فکر میکنم این مشکل برای خیلی از دوستان هم باشه ، لطفا یه بررسی بکنید تا ب یک نتیجه برسیم و وضعیت امنیت سرورها رو بهبود ببخشیم .

پانوشت : خواهشا از این موارد کودکانه که بستن فانکشن و .... باعث از کارافتادن شل میشه خودداری کنید ، دوستانی که همچین نظری دارن خودشون یه بار نسخه شلی که من ضمیمه کردم رو روی سرورشون بریزن تا ببینن چقدر حرفشون بی منطقه .


با تشکر

3542

بهترین روش اسکن روزانه ClamAV هست

سلام .

مشخصات سرور :
Centos64
Apache 2+
WHM/Cp

دوستان چند روزه بدجوری با شل C99 دچار مشکل شدیم ، یعنی هر کاری میکنم نمیتونم جلو کارکردش رو بگیرم ، در این سایت قبلا مقالاتی منتشر شده ولی باید بگم متاسفانه هیچکدوم ! کاربردی ندارند . این تاپیک رو زدم تا یه فکر اساسی برای مقابله با شل ها بکنیم .
برای مثال من Calm رو نصب کردم ، و توابع زیر رو هم غیرفعال کردم :

myshellexec escapeshel lcmd symlink ini_restore ini_set PHP_SELF phpinfo safe_mode ctrl_dir tmp show_source system passthru http_host diskfreespace phpini systemroot get_current_user HTTP_HOST php_uname popen pclose exec shell_exec suExec passthru pclose proc_open proc_nice proc_terminate proc_get_status proc_close pfsockopen leak apache_child_terminate posix_kill posix_mkfifo posix_setpgid posix_setsid posix_setuid escapeshellcmd escapeshellarg ls mv base64_encodem base64_decode


اما باز هم نسخه کد شده ی شل به خوبی کار میکنه یعنی قادره فایل های اکانت رو حذف و ویرایش کنه . نکته جالب اینه که تنها تابع موثر تابع base64_decode هست که با غیر فعال کردن اون عملا شل ها از کار می افتن ولی مشکل بزرگتر اینه که همراه با شل ها هر سایتی که قسمتی از سورسش رو روی بیس 64 کد کرده هم از کار می افته .پس بستن اون مقدور نیست ، یه راه کاری بدید که بشه مقاومت کرد .
من روی سرورهای دوستان دیدم که بعضی مواقع شل بالا میاد ولی عملا کارایی نداره یعنی قادر به حذف یا ویرایش فایل ها نیست !

__________
در mod security هم فرمان های زیر رو اضافه کردم ولی اثری نداشت :

SecRule RESPONSE_BODY "r57shell - http-shell by RST/GHC"
SecRule RESPONSE_BODY "/* (c)oded by 1dt.w0lf"
SecRule RESPONSE_BODY "/* RST/GHC http"
SecRule RESPONSE_BODY "x2300 Locus7Shell"
SecRule RESPONSE_BODY "UNITED ALBANIANS aka ALBOSS PARADISE"
SecRule RESPONSE_BODY "C99 Modified"
SecRule RESPONSE_BODY "c999shell v."
SecRule RESPONSE_BODY "RootShell Security Group"
SecRule RESPONSE_BODY "Modded by Shadow & Preddy"
SecRule RESPONSE_BODY "Owned by hacker"


فکر میکنم این مشکل برای خیلی از دوستان هم باشه ، لطفا یه بررسی بکنید تا ب یک نتیجه برسیم و وضعیت امنیت سرورها رو بهبود ببخشیم .

پانوشت : خواهشا از این موارد کودکانه که بستن فانکشن و .... باعث از کارافتادن شل میشه خودداری کنید ، دوستانی که همچین نظری دارن خودشون یه بار نسخه شلی که من ضمیمه کردم رو روی سرورشون بریزن تا ببینن چقدر حرفشون بی منطقه .


با تشکر

3542
با عرض پوزش سوال شما یکم بی معنی هست
شل c99 ? شلر عملا یک اسکریپت هست میتونه به زبان های مختلفی باشه php , perl , cgi و ... c99 اسمی هست که بر روی اون اسکریت گذاشتند
آنتی ویروس به همون دلیلی که گفتید گزینه مناسبی نیست ، راه های مختلفی هست. هیچ راهی وجود نداره که بتونید جلوی اجرای شل رو بگیرید ، شل اجرا میشه ولی طبیعتا اگر کانفیگ امنیتی انجام شده باشه اجازه دسترسی به شل داده نمیشه ، محدود سازی یوزر nobody و ....
امنیت بحثی نیست که در یک تاپیک جا بگیره و بگیم فلان کار باعث امنیت تمام میشه ..
توصیه می کنم کتاب مطالعه کنید تا به نتایج بهتری برسید

موفق و پیروز باشید

بهترین روش اسکن روزانه ClamAV هست

فکر نکنم چیزی پیدا کنه , چند روز پیش یه شل رو هاستم آپلود کرده بودم
اما ClamAV هیچ چیزی پیدا نکرد و شله مورد نظر هیچ تکونی نخورد ....



با عرض پوزش سوال شما یکم بی معنی هست
شل c99 ? شلر عملا یک اسکریپت هست میتونه به زبان های مختلفی باشه php , perl , cgi و ... c99 اسمی هست که بر روی اون اسکریت گذاشتند
آنتی ویروس به همون دلیلی که گفتید گزینه مناسبی نیست ، راه های مختلفی هست. هیچ راهی وجود نداره که بتونید جلوی اجرای شل رو بگیرید ، شل اجرا میشه ولی طبیعتا اگر کانفیگ امنیتی انجام شده باشه اجازه دسترسی به شل داده نمیشه ، محدود سازی یوزر nobody و ....
امنیت بحثی نیست که در یک تاپیک جا بگیره و بگیم فلان کار باعث امنیت تمام میشه ..
توصیه می کنم کتاب مطالعه کنید تا به نتایج بهتری برسید

موفق و پیروز باشید

کاملا موافقم , یا باید هزینه کنید و یا راه مطالعه و یادگیری رو در پیش بگیرید ...

قبل از اسکن
freshclam

با عرض پوزش سوال شما یکم بی معنی هست
شل c99 ? شلر عملا یک اسکریپت هست میتونه به زبان های مختلفی باشه php , perl , cgi و ... c99 اسمی هست که بر روی اون اسکریت گذاشتند
آنتی ویروس به همون دلیلی که گفتید گزینه مناسبی نیست ، راه های مختلفی هست. هیچ راهی وجود نداره که بتونید جلوی اجرای شل رو بگیرید ، شل اجرا میشه ولی طبیعتا اگر کانفیگ امنیتی انجام شده باشه اجازه دسترسی به شل داده نمیشه ، محدود سازی یوزر nobody و ....
امنیت بحثی نیست که در یک تاپیک جا بگیره و بگیم فلان کار باعث امنیت تمام میشه ..
توصیه می کنم کتاب مطالعه کنید تا به نتایج بهتری برسید

موفق و پیروز باشید
عزیزم ؛ اطلاع دارم شل چیه ، من یک مثال زدم که مثلا چطوری یه نسخه شل C99 که روی سرور آپلود شده رو محدود کنیم ...معمولا اونایی که روی base64 کد میشوند از دسترس phpini فرار میکنند و تمام توابع رو استفاده میکنند مگه اینکه خود تابع 64 رو ببندیم که در اون صورت مشکل چیز دیگه پیش میاد .......

دوستان همه ما میدونیم که میشه با انتی ویروس پیدا کرد ، من حرفم اینه که نصف شب وقتی از سرور کسی شل بگیره و من و شما نباشیم ، هکر میتونه زندگی رو زیر و رو کنه ! چطور محدود کنیم امثال r57 و c99 رو که مشکل جدی پیش نیارند . من روی خیلی از سرورها دیدم که این شل ها عملا کاری نمیتونند بکنند....

از rule های gotroot برای mod security استفاده نمایید.

---------- Post added at 10:27 PM ---------- Previous post was at 10:21 PM ----------

همچنین اگر سرور hosting هست از suphp استفاده کنید و برای هر کاریر open_basedir تنظیم کنید(روی home کاربر و مسیر های مورد نیاز کابر) البته این کار به برخی تنظیمات اضافه روی template ها و ایجاد چند hook روی cPanel نیاز خواهد داشت.

موفق باشید.

از rule های gotroot برای mod security استفاده نمایید.

---------- Post added at 10:27 PM ---------- Previous post was at 10:21 PM ----------

همچنین اگر سرور hosting هست از suphp استفاده کنید و برای هر کاریر open_basedir تنظیم کنید(روی home کاربر و مسیر های مورد نیاز کابر) البته این کار به برخی تنظیمات اضافه روی template ها و ایجاد چند hook روی cPanel نیاز خواهد داشت.

موفق باشید.

چطور این کارارو انجام بدم؟ جایی آموزشش هست یا خودتون می تونید آموزش بدید ؟ هزینه ای هم داشته باشه مشکلی نیست.

استفاده از open_basedir
patch suphp
این فانکشن ها رو هم میتوانید ببندید:
c99_buff_prepare
c99_sess_put
c99getsource
c99sh_getupdate
c99fsearch
c99shexit
c99ftpbrutecheck
gzinflate

استفاده از open_basedir
patch suphp
این فانکشن ها رو هم میتوانید ببندید:
c99_buff_prepare
c99_sess_put
c99getsource
c99sh_getupdate
c99fsearch
c99shexit
c99ftpbrutecheck
gzinflate
ممنون که نظر دادید ، ولی اگه این قسمت پست اول رو مطالعه میفرمودید بهتر بود :

پانوشت : خواهشا از این موارد کودکانه که بستن فانکشن و .... باعث از کارافتادن شل میشه خودداری کنید ، دوستانی که همچین نظری دارن خودشون یه بار نسخه شلی که من ضمیمه کردم رو روی سرورشون بریزن تا ببینن چقدر حرفشون بی منطقه .

متاسفانه من تمام این کار ها رو انجام دادم باز هم شل قادر به ویرایش و حذف فایل های موجود در اکانتی که روش آپلود شده هست . چون وقتی شل کد شده باشه از تمام فانکشن های بسته شده رد میشه .

روی همون سرورهایی که دیدین این شل نمیتونه کاری کنه ادمینش نمیتونه بهتون توضیح بده که چیکار کرده؟

ممنون که نظر دادید ، ولی اگه این قسمت پست اول رو مطالعه میفرمودید بهتر بود :

پانوشت : خواهشا از این موارد کودکانه که بستن فانکشن و .... باعث از کارافتادن شل میشه خودداری کنید ، دوستانی که همچین نظری دارن خودشون یه بار نسخه شلی که من ضمیمه کردم رو روی سرورشون بریزن تا ببینن چقدر حرفشون بی منطقه .

متاسفانه من تمام این کار ها رو انجام دادم باز هم شل قادر به ویرایش و حذف فایل های موجود در اکانتی که روش آپلود شده هست . چون وقتی شل کد شده باشه از تمام فانکشن های بسته شده رد میشه .


خواهش می کنم :)

نکته اول شما فانکشن هایی که من گفتم را ببند اگر دیدی "موارد کودکانه" هست بیا بگو من یک ماه شبانه روز پای سرور شما وای میستم هر فایلی اپلود کردن خودم با چشم بررسی میکنم :دی

1- فانکشن gzinflate را که bold هم کردم اگر ببندی دیگه شل از حالت کد شده خارج نمیشه که بخواد اجرا بشه ! این دلیل اول که شل از کار میوفته !
این هم اجراش روی سرور !

Warning: gzinflate() has been disabled for security reasons in ****\th3.php on line 1496

2- بافرض اینکه این فانکشن ها را هم نبندید و شل کار کنه ، open_base را تنظیم کنید و شل را اجرا کنید ! از مسیری که در open_base مجاز تعیین کردید خارج نمیتونه بشه این هم نمونه اجرا روی سرور !


Can't open folder

3- شما میگی :

هم شل قادر به ویرایش و حذف فایل های موجود در اکانتی که روش آپلود شده هست
بله عزیزم شلی که شما فرستادی برای تست یک برنامه php هست و مثل تمام فایل های php مجاز به ویرایش و حذف فایل هایی که در اکنت خودش باشه هست ! ولی درستش این هست که به اکنت خودش دسترسی داشته باشه و به خارج از اکنت خودش دسترسی نداشته باشه که با تنظیماتی که گفتم و دوستان دیگه هم گفتند این محدودیت ایجاد میشه :)

خواهش می کنم :)

نکته اول شما فانکشن هایی که من گفتم را ببند اگر دیدی "موارد کودکانه" هست بیا بگو من یک ماه شبانه روز پای سرور شما وای میستم هر فایلی اپلود کردن خودم با چشم بررسی میکنم :دی

1- فانکشن gzinflate را که bold هم کردم اگر ببندی دیگه شل از حالت کد شده خارج نمیشه که بخواد اجرا بشه ! این دلیل اول که شل از کار میوفته !
این هم اجراش روی سرور !

من از شما عذر میخوام . من این قسمت آخر رو امتحان نکرده بودم ، الان امتحان کردم و روی شل جواب داد یعنی جلو خواندن سورس رو گرفت . من این رو نسبت به سایر شل های php هم تست خواهم کرد و نتیجه رو داخل همین تاپیک میزارم تا همه دوستان استفاده کنند . از شما بابت این راهنمایی سپاسگزارم .



3- شما میگی :

بله عزیزم شلی که شما فرستادی برای تست یک برنامه php هست و مثل تمام فایل های php مجاز به ویرایش و حذف فایل هایی که در اکنت خودش باشه هست ! ولی درستش این هست که به اکنت خودش دسترسی داشته باشه و به خارج از اکنت خودش دسترسی نداشته باشه که با تنظیماتی که گفتم و دوستان دیگه هم گفتند این محدودیت ایجاد میشه :)

من در بعضی سرورها دیدم که این فایل شل میتونه لیست موارد رو بخونه و در بالاترین حد نفوذ فقط اونا رو دانلود کنه ولی نمیتونه چیزی آپلود ، حذف یا و ادیت کنه ، یعنی من فکر میکنم در واقع مجوز ادیت فایل فقط تحت cpanel و ftp صادر شده و کلا از طریق وب نشه فایل ویرایش کرد . فکر میکنید اینجوری هست یا اینکه حالت خاصی داره که مخصوص شل ها تنظیم شده ؟

قبل از اسکن
freshclam

با سلام دوست عزیز
متاسفانه با آپدیت کردن هم نتونست شل ها رو پیدا کنه !!؟
یه شل c99 رو در یکی از اکانت ها بارگذاری کرده ام , اما به هیچ وجه آنتی ویروس ClamAV پیداش نمی کنه ؟؟

با درود و احترام
دوست عزیز من از فانکشن gzinflate استفاده کردم کارکرد اما متاسانه تمامی بازدید های نیوک صفر شدند میشه بگشد باید چه کاری انجام دهم تا درست شود؟
با تشکر

منم با همین مشکلروبرو شدم :(

دوست عزیز مقوله ی امنیت کار پیچیده ای هست که نیاز به دانش روز داره و یه امنیت کار باید از یه هکر یه گام جلوتر باشه میتونم کمکتون کنم بهم پ.خ بدید