-
November 26th, 2014, 11:01
#21
عضو انجمن
پاسخ : خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.
کسانی که از Snort استفاده می کنند. می توانند برای جلوگیری از این مشکل و حل کامل موضوع و جلوگیری از خروج نرافیک از سرور می توانید ازرول های زیر استفاده نمایید.
کد:
#
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET WEB_SERVER FOX-SRT - Backdoor - CryptoPHP Shell C2 POST"; flow:established,to_server; content:"POST"; http_method; content:"Content-Disposition|3a| form-data|3b| name=|22|serverKey|22|"; http_client_body; fast_pattern:28,20; content:"Content-Disposition|3a| form-data|3b| name=|22|data|22|"; http_client_body; content:"Content-Disposition|3a| form-data|3b| name=|22|key|22|"; http_client_body; content:!"Referer|3a| "; http_header; content:!"User-Agent"; http_header; content:!"Cookie|3a|"; threshold: type limit, track by_src, count 1, seconds 600; reference:url,blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/; classtype:trojan-activity; sid:2019748; rev:1;)
کد:
#
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET WEB_SERVER FOX-SRT - Backdoor - CryptoPHP Shell C2 POST (fsockopen)"; flow:established,to_server; content:"POST"; http_method; content:"Content-Type: application/x-www-form-urlencoded"; http_header; content:"Connection|3a| close"; http_header; content:"serverKey="; fast_pattern; content:"data="; content:"key="; content:!"Referer|3a|"; http_header; content:!"User-Agent"; http_header; content:!"Cookie|3a|"; threshold: type limit, track by_src, count 1, seconds 600; reference:url,blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/; classtype:trojan-activity; sid:2019749; rev:1;)
کد:
#
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"ET WEB_SERVER PHP.//Input in HTTP POST"; flow:established,to_server; content:"POST"; http_method; content:"php|3a 2f 2f|input"; http_raw_uri; content:"<?"; http_client_body; depth:2; reference:url,www.deependresearch.org/2014/07/another-linux-ddos-bot-via-cve-2012-1823.html; classtype:trojan-activity; sid:2019804; rev:3;)
باتشکر
ارایه دهنده خدمات ایمن سازی سرور های مبتنی بر لینوکس و ویندوز
My
Crime Is My
Advisory .
Hacking Is The Best But Security Is The First
The Best Secure Hosting in Iran
http://SecureHost.ir
جهت تماس در شبکه IRC :mHUB.HIRCNetwork.com#Linux@Secure_Host
-
تعداد تشکر ها ازsecure_host به دلیل پست مفید
-
November 26th, 2014 11:01
# ADS
-
November 26th, 2014, 15:13
#22
عضو دائم
پاسخ : خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.
راه حل های گفته شده رو طی کردیم
اما امروز مجددا برامون همون ابیوز دیروزی از دیتاسنتر ارسال شد
centos 6 - 64 bit
در قلمرو ایمان نیز تسامح هست
-
-
November 26th, 2014, 15:26
#23
عضو انجمن
پاسخ : خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.
با سلام
در صورت نیاز دسترسی ارسال نمایید تا بررسی شود.
باتشکر
ارایه دهنده خدمات ایمن سازی سرور های مبتنی بر لینوکس و ویندوز
My
Crime Is My
Advisory .
Hacking Is The Best But Security Is The First
The Best Secure Hosting in Iran
http://SecureHost.ir
جهت تماس در شبکه IRC :mHUB.HIRCNetwork.com#Linux@Secure_Host
-
-
November 27th, 2014, 16:26
#24
پاسخ : خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.
سلام
نمیشه به نام فایل بسنده کرد خوب میتونه تغییر نام داده بشه به یک چیز دیگه بهتره روش های بهتری پیدا کنیم واسه این مالور ضمنن اگر سورسش رو دارید بذارید تا ببینیم توش چی داره اینطوری با تغییر نام هم راحت میشه پیداش کرد ، کد هایی که اینجا ارائه شه قالبا داره دنبال فایلی با نام social و فرمت png با محتوای php میگرده و در این صورت اگر فال با نام دیگری در سرور وود داشته باشه این کامند ها پیداش نمیکنه
- - - Updated - - -
دوستان این کامند رو استفاده کنید یکم بهتره چون هر فایلی عکسی که شامل کد php باشه پیدا میکنه انتقالش میده به مسیری دیگر و بعد از مشاهده میتونید حذفش کنید
mkdir /virus-files
find -L /home -type f \( -name \*.jpg -or -name \*.png -or -name \*.jpeg -or -name \*.gif -or -name \*.bmp \) -type f -exec file {} \;|grep PHP >~/virus-files
اگر چند تا پارتیشن هم دارید هم
find -L /home* -type f \( -name \*.jpg -or -name \*.png -or -name \*.jpeg -or -name \*.gif -or -name \*.bmp \) -type f -exec file {} \;|grep PHP >~/virus-files
ویرایش توسط tizparvaz : November 28th, 2014 در ساعت 03:12
-
تعداد تشکر ها از tizparvaz به دلیل پست مفید
-
November 28th, 2014, 02:43
#25
عضو دائم
پاسخ : خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.
-