Розміщення шелів (бекдорів) на сайтах

22:44 07.02.2011

Існує декілька варіантів розміщення шелів (як і будь-яких бекдорів) на сайтах. Перші два варіанти є відомими, а третій варіант - це новий, який я розробив минулого року, коли виявив RCE уразливість в CMS WebManager-Pro. Подібні уразливості можуть бути й в інших веб додактах.

Шели можуть бути розміщенні на сайті:

1. У вигляді окремих файлів.
2. Включені в існуючі скрипти.
3. Включені в Базу Даних.

У першому випадку це можуть бути як php та інші скрипти, що можуть виконуватися на сервері, так і файли з іншими розширеннями (такими як txt та іншими), код в яких виконається через різні уразливості на сайті (у веб додатках чи у веб сервері).

У другому випадку це можуть бути будь-які існуючі php та інші скрипти на веб сайті, в код яких додається код шела. Тобто робиться бекдор в існуючому коді.

У третьому випадку це можуть бути записи в БД, коли веб додаток виконує код (наприклад, PHP код), що знаходиться у даному записі. Як це може бути у випадку CMS WebManager-Pro.

Перші два випадки стосуються файлів у файловій системі сервера. А третій випадок стосується записів в СУБД. І якщо для перших двох потрібно мати права на запис до файлової системи, то у третьому випадку ці права не потрібні - потрібно лише записати дані в БД. Тобто з використанням третього методу розміщення шелів (там де він придатний), можна обійти це обмеження, а також більш приховано розмістити шел ;-) .

І раз дані методи розміщення шелів мають суттєві відмінності, то відповідно і захист від них повинен бути різний. Тобто існують відмінності при пошуку даних шелів та протидії подібним атакам.

Для пошуку перших двох типів шелів можна скористатися спеціалізованими програмами. Зокрема для WordPress можна скористатися Сканером експлоітів в WordPress та плагіном Belavir, про які я вже розповідав (але враховуючи ранішезгадані уразливості в Belavir, варто враховувати безпеку подібних плагінів при їх використанні). Про інші подібні додатки я ще розповім. А для третього типу шелів потрібні зовсім інші додатки, що вміють виявляти шели в базах даних.


Одна відповідь на “Розміщення шелів (бекдорів) на сайтах”

  1. MustLive каже:

    You can read this article on English in The Web Security Mailing List: Placing shells (backdoors) at web sites.

Leave a Reply

You must be logged in to post a comment.