Trang ChínhTrang Chính  CalendarCalendar  GalleryGallery  Trợ giúpTrợ giúp  Tìm kiếmTìm kiếm  Đăng kýĐăng ký  Thành viênThành viên  NhómNhóm  Đăng NhậpĐăng Nhập  

Share | 
 

 Backdoor.PHP.C99Shell.w

Go down 
Tác giảThông điệp
_MR_B0I_
Quản Lý Diễn Đàn
Quản Lý Diễn Đàn
avatar

Tổng số bài gửi : 6255
Group: : Adminstrator
Registration date : 21/11/2006

Bài gửiTiêu đề: Backdoor.PHP.C99Shell.w   Tue Sep 23, 2008 8:09 pm

Backdoor.PHP.C99Shell.w



Ngày phát hiện: 12 – 09 – 2007
Hiểm họa: Backdoor

Chi tiết kỹ thuật

Trojan này cho phép người dùng nguy hiểm từ xa truy cập vào máy tính nhiễm độc. Nó là một đoạn mã kịch bản PHP có dung lượng 229051 byte.

Cài đặt

Backdoor này có thể được cài đặt trên một máy chủ web bởi một người dùng độc hại từ xa bằng cách upload nó lên thông qua FTP, sử dụng tài khoản ăn trộm được từ quản trị viên. Nó cũng có thể được sử dụng để khai thác một loạt các lỗ hổng website và thông qua đó upload một file ngẫu nhiên lên thư mục có chứa các kịch bản site. Khi nó thành công, một trang ẩn sẽ xuất hiện trên site. Nếu mở trang này ra sẽ cho phép người dùng độc hại khởi chạy backdoor và thi hành các hàm độc hại của nó.

Hoạt động

Backdoor này được thiết kế để cung cấp từ xa, không có quyền quản trị của các máy chủ web. Khi backdoor chạy, người dùng độc hại sẽ thấy một giao diện backdoor như sau:

Backdoor có thể kiểm soát các hành động sau trên máy chủ từ xa:

1. Cho phép truy cập toàn quyền lên các file trên ổ cứng

2. Tính toán phạm vi của các bản hash cho chuỗi

3. Chạy trình duyệt lệnh và kết nối chuẩn input/output chuẩn của nó với một cổng TCP cụ thể.

4. Kết nối input/output chuẩn của trình duyệt lệnh với dữ liệu từ máy chủ IRC (datapipe)

5. Xem một danh sách các quá trình được chạy trên máy chủ

6. Thực thi ngẫu nhiên một đoạn code PHP

7. Download/ upload các file từ máy chủ về và ngược lại

8. Tìm kiếm các file trên ổ cứng máy chủ với nội dung cụ thể

9. Quản lý cơ sở dữ liệu mysql (xem/tạo/sửa cơ sở dữ liệu/bảng)

10. Chạy các dòng lệnh Shell

11. Quét các tài khoản máy chủ FTP có mật khẩu yếu (ví dụ như tên tài khoản và mật khẩu khớp với nó)

12. Xóa bản sao của chính nó từ ổ cứng máy chủ bằng lệnh

13. Tạo một tài khoản người dùng không cần mật khẩu

14. Xem các người dùng hoạt động trên hệ thống

15. Xóa các bản ghi hoạt động của chính nó trong phần log máy chủ Apache

16. Khai thác loạt các lỗ hổng của nhân Linux và trình dịch lệnh bash.

17. Chạy thông qua máy chủ proxy dưới

http://*****faced.org/proxy/index.php?q=

Để ẩn đi địa chỉ của người dùng độc hại từ xa.

Hướng dẫn gỡ bỏ

Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:

1. Xóa file chương trình mã độc gốc trên máy (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân).

2. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.

Về Đầu Trang Go down
Xem lý lịch thành viên http://viet.darkbb.com
 
Backdoor.PHP.C99Shell.w
Về Đầu Trang 
Trang 1 trong tổng số 1 trang

Permissions in this forum:Bạn không có quyền trả lời bài viết
 :: Giao Lưu - Giải Trí :: Tin Tức - Quản Trị Mạng :: » BẢO MẬT » Virus - Spyware-
Chuyển đến