• Meetings e Workshop
    l'associazione organizza workshop e meeting periodici

  • HowTo e manuali
    come costruire da te gadget elettronici e come programmarli

  • Hacking della PS3
    howto su come installare linux ed effettuare altri hack

  • Una comunità organizzata
    entra a far parte di una associazione organizzata e attiva

  • Strumenti di supporto
    per mantenersi in contatto e favorire la cooperazione

intermediate - analizzare backdoor php - es.WSO PHP Shell PDF Stampa E-mail
Scritto da Carlo Denaro - Blackout   
Carlo Denaro - Blackout

Qualche consiglio a chi, per lavoro, si tocca a fare pulizia (specie wordpress).

Come prima cosa, quando vi apprestate a fare pulizia dovete

  1. controllare tutte le dir e i files, cercate di beccare quelli modificati recentemente
  2. guardare i logs, cercando i file appena modificati, se sono stati chiamati in POST
Le chiamate in POST indicano che sono stati pushati dei dati quindi è altamente probabile che questi file modificati recentemente siano malevoli.
Sono file che avete modificato voi? No allora avete fatto bingo.
Spostate i suddetti file in una posizione sicura e inizia l'analisi.

Analisi

Questi file spesso sono offuscati pesantemente. Un ottimo tool per svelarne il codice (per studio) è http://ddecode.com/phpdecoder/ che vi permette di risalire al codice originario. Potete farlo a mano, ma questo tool è comodo.
Secondo passo, per poterli studiare agevolmente è quello di identare il codice in maniera più decente, e qui vi viene in aiuto http://phpbeautifier.com/ , inserite il vostro codice e beautifizzatelo a vostro piacere.
Adesso potete studiare il codice e capire cosa faceva, Di solito si tratta di una web shell che permette di caricare altri file o guardare nel vostro database.
Dovete capire che le persone che bucano il vostro sito in questa maniera difficilmente lo fanno per passatempo ma spesso gli serve il vostro sito per fare qualcos'altro.
  1. se avete un ecommerce vogliono i dati dei vostri utenti, password incluse. Se memorizzate le carte di credito abbiate il buon senso di criptarle.
  2. se avete un sito non ecommerce con alto traffico cercheranno di adescare i vostri utenti
  3. se avete un sito con poco traffico lo usano in genere per mandare email o costruire pagine di phishing

Pulizia

Dopo aver spostato i file sospetti dovete
  • controllare che non abbiano modificato altri file inserendo porzioni di codice malevolo (grep è vostro amico)
  • controllare che non abbiano inserito a db codice malevolo
  • controllare che non abbiano inserito javascript malevolo nel db o in altri post
  • modificare le password del db
  • modificare la password dell utente admin di wordpress
  • modificare la password di ftp
  • modificare eventuali password dei servizi utilizzati terzi

Monitoraggio

Monitorate per qualche giorno. A volte gli attacchi vengono ripetuti a distanza di mesi, quindi se per qualche giorno non vi scocciano non vuol dire che il sito sia pulito.
Il trucco per evitare danni è un intervento TEMPESTIVO.


 

Aggiungi commento


Codice di sicurezza
Aggiorna


grayhats.org, Powered by Joomla!; Joomla templates by SG web hosting
valid xhtml valid css