سلام

سرور من بتازگی توسط یک شل خطرناک مورد حمله قرار گرفته./
این شل خیلی قدرتمند هست که تمامی تنظیمات امنیتی رو دور میزنه

من فایل شل رو اینجا قرار میدم تا هر کی از دوستان در مورد این شل اطلاعاتی داره ،اینجا منتشر کنه که بتونیم ریسک های امنیتی این شل رو از بین ببریم .

سرور من که گرفتش نمیزاره آپلود بشه چون آنتی شل نصبه:

new.php: unknown Bytes complete FAILED! :Upload canceled: VIRUS DETECTED! (PHP.Hide FOUND)

اینو نمیشه اپلود کرد ، آنتی شل بهش گیر میده
یه فایل php ایجاد کنین ، بعد سورس رو کپی کنین.

نکته مهم این شل اینه که به تمام فایل سیستم لینوکس دسترسی خواندن Read داره.

سلام سرور ما هم جولوش رو گرفت و کامل جلوی اپلودش رو گرفت

تست شد.

فکر کردم چی هست.

روت شل هست.

یه شل خیلی ضعیف حتی نمیتونه تو home سرور بره به راحتی.

با c102 کار کنید یا آنجل و ... نظرتون عوض میشه.

اینم شل بود آخه ...(:|

سلام سرور ما هم جولوش رو گرفت و کامل جلوی اپلودش رو گرفت

آنتی شل اینو میگیره
اما شما اول یه فایل php دستی ایجاد کنید و سورس رو کپی کنین .
اونوقت اجرا کنین.


تست شد.

فکر کردم چی هست.

روت شل هست.

یه شل خیلی ضعیف حتی نمیتونه تو home سرور بره به راحتی.

با c102 کار کنید یا آنجل و ... نظرتون عوض میشه.

اینم شل بود آخه ...(:|

خیلی قضیه رو ساده نگیرید.
فایل سیستم لینوکس رو می تونه بخونه
مثلا شما دایرکتوری های /tmp و /var و ..... رو بزنید ببینید چی میشه ؟

آنتی شل اینو میگیره
اما شما اول یه فایل php دستی ایجاد کنید و سورس رو کپی کنین .
اونوقت اجرا کنین.



خیلی قضیه رو ساده نگیرید.
فایل سیستم لینوکس رو می تونه بخونه
مثلا شما دایرکتوری های /tmp و /var و ..... رو بزنید ببینید چی میشه ؟

عزیز میگم دایرکتوری home نمیره شما میگید بزنیم ؟

شل برای گروه روت شل تیم هست و خیلی ضعیفه شما شل هایی که نام بردم کار کنید فکر کنم بگید دیگه شل فوق جدید c102 : - |

سرور شما خیلی ضعیف بوده.

تمام تنظیمات امنیتی رو دور میزنه ؟ یه سیف مود ساده رو دور نمیزنه عزیز چی رو پس دور میزنه.


یا حق

عزیز میگم دایرکتوری home نمیره شما میگید بزنیم ؟

شل برای گروه روت شل تیم هست و خیلی ضعیفه شما شل هایی که نام بردم کار کنید فکر کنم بگید دیگه شل فوق جدید c102 : - |

سرور شما خیلی ضعیف بوده.

تمام تنظیمات امنیتی رو دور میزنه ؟ یه سیف مود ساده رو دور نمیزنه عزیز چی رو پس دور میزنه.


یا حق

شما مطمئن هستید که به دایرکتوری دیگه ای نمیره ؟
لطف کنید ?dir=/tmp یا ?dir=/var یا ?dir=/etc و .... رو هم از url بزنید ببینید دایرکتوری رو میخونه یا نه ؟
اگه می تونین روی یه اکانت تست لینک شل رو بدین من یه نگاه بندازم که آیا برای شما جواب میده یا نه ؟

شما مطمئن هستید که به دایرکتوری دیگه ای نمیره ؟
لطف کنید ?dir=/tmp یا ?dir=/var یا ?dir=/etc و .... رو هم از url بزنید ببینید دایرکتوری رو میخونه یا نه ؟
اگه می تونین روی یه اکانت تست لینک شل رو بدین من یه نگاه بندازم که آیا برای شما جواب میده یا نه ؟

کاربرد شل ها اکثرا شبیه هم هستند ، تفاوت امنیت سرورها هست ...
کسی این کار رو فکر نمی کنم براتون انجام بده . ولی بنده شل رو آپلود کردم , در کل کار خاصی نمیشد باهاش انجام بدی ...

کاربرد شل ها اکثرا شبیه هم هستند ، تفاوت امنیت سرورها هست ...
کسی این کار رو فکر نمی کنم براتون انجام بده . ولی بنده شل رو آپلود کردم , در کل کار خاصی نمیشد باهاش انجام بدی ...

مرسی از پاسختون
از نظر امنیت سرور من برای شلهای معروف ایمن هست.با شل های دیگه مشکل ندارم

من فقط یه مورد رو میخوام ! این شل نتونه دایرکتوری های دیگه مثل var , tmp , etc , ..... رو بخونه !!!!

اگه کسی هست که این شل رو سرورش به این دایرکتوری ها اکسز نداره ، پ.خ بفرستین که در این مورد بیشتر صحبت کنیم .

چندین و چند شل رو روی csx تست کردم اجرا نشد
این شل اجرا شد
شل خوبی هست
موفق باشید

اگر امنیت سرورتون خوب باشه نیازی نیست از این شل ها ترسی داشته باشید چون هکر فقط به همان سایت میتواند اسیب بزند.

اینو نمیشه اپلود کرد ، آنتی شل بهش گیر میده
یه فایل php ایجاد کنین ، بعد سورس رو کپی کنین.

نکته مهم این شل اینه که به تمام فایل سیستم لینوکس دسترسی خواندن Read داره.

همون موقع که ویرایش میشه فایل روی سرور قرار میگیره ولی eXploit Scanner روزانه کل فایلهای سرور رو چک میکنه و مجددا همین فایل رو میگیره و حذفش میکنه. هکر تا قبل اینکه اسکن بشه سرور وقت داره کاری بکنه

همون موقع که ویرایش میشه فایل روی سرور قرار میگیره ولی eXploit Scanner روزانه کل فایلهای سرور رو چک میکنه و مجددا همین فایل رو میگیره و حذفش میکنه. هکر تا قبل اینکه اسکن بشه سرور وقت داره کاری بکنه

صحبتم رو تصحیح میکنم: با ویرایش هم کار نمیکنه الان من روی سرورم تست کردم طبق گفته شما یک فایل ساختم و ویرایش کردم به کدهای شل بعد که ذخیره کردم فایل منیجر که ریفرش کردم فایل تشخیص داده شد مخرب هست و سریع حذف شد. با داشتن آنتی شل کسی نمیتونه استفاده بکنه ازش

ازهمه دوستان تشکر می کنم بابت شرکت در تاپیک

اینجا چند مورد هست که قبل از تست شل لازمه که مد نظر باشه.
1- شل رو نمیشه مستقیم آپلود کرد بایدحتماً دستی اونو ذخیره کرد (انجام این مورد برای هکر خیلی خیلی ساده هست که بدون اپلود و از طریق روش های مختلف فایل رو به سرور بفرسته )
2-آنتی شل خیلی سریع این شل رو تشخیص میده و اونو حذف میکنه .
3- در صورت وجود کانفیگ های امنیتی این شل فقط به دایرکتوری یوزر دسترسی کامل داره و برای تمام دایرکتوری های فایل سیستم لینوکس به جز (/home)
4-این شل به تنهایی مزیتی برای هکر نداره ، اما اگه هکر حرفه ای باشه با این کاملترین اطلاعات رو از سیستم بیرون میکشه (خیلی ازفایل های کانفیگ با این شل قابل خواندن هستن و این مهمترین مسئله درباره این شل هست)

حالا برای جمع بندی از دوستانی که این شل رو روی سرورشون تست کردن و واقعاً فایل سیستم لینوکس خوانده نشده درخواست دارم که درباره کانفیگ خاصی که انجام دادن تا فایل سیستم قابل خواندن نباشه راهنمایی کنند.

ازهمه دوستان تشکر می کنم بابت شرکت در تاپیک

اینجا چند مورد هست که قبل از تست شل لازمه که مد نظر باشه.
1- شل رو نمیشه مستقیم آپلود کرد بایدحتماً دستی اونو ذخیره کرد (انجام این مورد برای هکر خیلی خیلی ساده هست که بدون اپلود و از طریق روش های مختلف فایل رو به سرور بفرسته )
2-آنتی شل خیلی سریع این شل رو تشخیص میده و اونو حذف میکنه .
3- در صورت وجود کانفیگ های امنیتی این شل فقط به دایرکتوری یوزر دسترسی کامل داره و برای تمام دایرکتوری های فایل سیستم لینوکس به جز (/home)
4-این شل به تنهایی مزیتی برای هکر نداره ، اما اگه هکر حرفه ای باشه با این کاملترین اطلاعات رو از سیستم بیرون میکشه (خیلی ازفایل های کانفیگ با این شل قابل خواندن هستن و این مهمترین مسئله درباره این شل هست)

حالا برای جمع بندی از دوستانی که این شل رو روی سرورشون تست کردن و واقعاً فایل سیستم لینوکس خوانده نشده درخواست دارم که درباره کانفیگ خاصی که انجام دادن تا فایل سیستم قابل خواندن نباشه راهنمایی کنند.

سرورهای ما توسط ConfigServer Services (http://www.ConfigServer.com) کانفیگ میشه. هزینه کانفیگ هر سرور 150 دلار هست میتونید بدید تا کانفیگ و بهینه سازی بکنن

سلام دوستان . خسته نباشید .
بنده شل رو آنالیز کردم و بصورت کامل دیکد کردم . قرار میدم استفاده ببرید .
چیز خاصی نداشت در کل . شل های قوی تر از اینم وجود داره . در کل ، این شل با استفاده از safemod ، disable_function ، cxs عملا استفاده ازش غیر ممکن میشه .
البته پارتیشن tmp رو هم باید سکیور کرد

دوستان چرا اینقدر قضیه رو سختش می کنین.

فقط یه مورد هست می خوام بدونم

هر کی این شل رو سرورش به دایرکتوری های /tmp ، /var ، /etc و .... دسترسی خواندن نداره اینجا بگه

فکر نکنم درخواست سختی باشه

غیرفعال کردن این شل خیلی خیلی ساده هست (با بستن base64_decode , base64_encode در EVAL)

اما تو هاست اشتراکی موارد مهمی هست که باید مد نظر باشه.

دوستان چرا اینقدر قضیه رو سختش می کنین.

فقط یه مورد هست می خوام بدونم

هر کی این شل رو سرورش به دایرکتوری های /tmp ، /var ، /etc و .... دسترسی خواندن نداره اینجا بگه

فکر نکنم درخواست سختی باشه

غیرفعال کردن این شل خیلی خیلی ساده هست (با بستن base64_decode , base64_encode در EVAL)

اما تو هاست اشتراکی موارد مهمی هست که باید مد نظر باشه.

بستن base64_decode , base64_encode در EVAL اصلا راهش نیست چون خیلی از اسکریپت های کد شده ازش استفاده می کنند.

دوستان چرا اینقدر قضیه رو سختش می کنین.

فقط یه مورد هست می خوام بدونم

هر کی این شل رو سرورش به دایرکتوری های /var ، /etc و .... دسترسی خواندن نداره اینجا بگه

.

شل بر روی سرور من به مسیر های ذکر شده دسترسی خواندن ندارد.

در ضمن شل خاصی نیست.

چقدر بحث شده ایتجا در مورد ی شل !!

ببخشید میپرتم توی حرفتون :))

ی چی بگم بیخودی شل روی سروراتون نریزید تست کنید

دلیل : دوست داشتید ی شل بدم بریزید بعد میام میگمتون روی چه سرورای مسیر اپلودش وووووووو چی بود
سر درد دارید دستمال ببندید کلتون چرا شل میریزد تست کنید رو سرورتون ؟!!!:-o

اینم تست کردم دوریال ارزش نداره این شل :76:

اونای که میگن /tmp ، /var ، /etc رو میخونه


chmod 711 /

چقدر بحث شده ایتجا در مورد ی شل !!

ببخشید میپرتم توی حرفتون :))

ی چی بگم بیخودی شل روی سروراتون نریزید تست کنید

دلیل : دوست داشتید ی شل بدم بریزید بعد میام میگمتون روی چه سرورای مسیر اپلودش وووووووو چی بود
سر درد دارید دستمال ببندید کلتون چرا شل میریزد تست کنید رو سرورتون ؟!!!:-o

اینم تست کردم دوریال ارزش نداره این شل :76:

اونای که میگن /tmp ، /var ، /etc رو میخونه


chmod 711 /

دست عزیز ، شل یاد شده ، کاملا توسط شخص بنده دیکامپایل شد ابتدا ، بعد از آنالیز شدن کد ها وضعیتش را روی سرور بررسی کردم .
خوب هست آدم امنیتشو محک بزنه گاهی اوقات !
البته با فکر روشن و دید باز ! نه اینکه همینطوری شل رو آپلود کنه
حرف شما صحیح هست . بنده میتونم یک تابع ساده بنویسم ، که با اجرای شل ، اون رو توی یکی از پایین ترین زیر شاخه ها آپلود کنه و آدرسش رو ارسال کنه ;)
این برای ما اهمیت نداشت و نداره
چیزی که اهمیت داره اینه که صاحب تاپیک ، ادعا داشتند که به مسیر های tmp , etc , var و ... دسترسی داره این شل و تمامی متد های امنیتی رو بای پس میکنه .
که البته این ادعا رد شد ...
هیچوقت از آزمایش خودتون نترسید ...
هیچوقت امنیت 100% نیست


موفق باشید

سلام من رو سرور مجازیم که برای تست گرفتم
این شل رو ریختم
و چون
cxs
نداشتم به راحتی اجرا شد
ولی فقط میتونست همون یوزر رو مورد حمله قرار بده
این سه مورد رو هم بعد از آدرس زدم
?dir=/tmp یا ?dir=/var یا ?dir=/etc
ولی فقط تونست
tmp
رو بخونه
دسترسی
tmp
سرور من روی 1777 هست
var و etc
هم روی 0755
آیا نیازه کار خاصی کنم؟
چون
tmp
رو خوند

شل تقریبا ضعیفی هست فقط به روت دسترسی داره

شل تقریبا ضعیفی هست فقط به روت دسترسی داره

مثلا شل رو در
site.com/shell.php
ریختید
بعد از آدرس بزنید
site.com/shell.php?dir=/tmp
کامل دایرکتوری
tmp
رو لود میکنه
اما وثتی این دایرکتوری رو میذارید روی
0711
دیگه لود نمیشه ولی همه جا برای امن کردن
tmp
گفتند که باید پرمیشن رو روی 1777 بذارید