Segurança do C99shell.I

Navegue suas respostas
2

Eu encontrei um arquivo não autorizado no meu servidor, depois de baixá-lo para o meu computador, meu antivírus reconheceu como um vírus Backdoor:PHP/C99shell.I

Alguém pode me guiar como rastrear o hack e proteger meu servidor?

Obrigado.

    
por Shishant 20.09.2010 / 18:02

3 respostas

2

O C99 é um shell PHP bem conhecido que fornece acesso a arquivos, uma interface para executar comandos do sistema, explorações automatizadas para tentar fazer o root do servidor, um navegador mysql etc. É inofensivo para o seu computador - afeta apenas servidores web .

Quanto a como isso acontece, há várias maneiras de você ser atacado. Os mais comuns são RFI / LFI, embora os shells também possam ser obtidos por meio de SQL Injection, contas de administrador no site (dependendo do software) ou detalhes de FTP comprometidos.

Quanto ao que fazer a seguir, presuma que tudo no seu site tenha sido comprometido. Isso significa mudança e as senhas para cPanel, SQL, FTP. A limpeza completa de um site é quase impossível, especialmente sem um conhecimento profundo do código e um alto nível de habilidade de programação.

Para ser honesto, sua melhor aposta é excluir TUDO do site e recuperar-se de um bom backup conhecido. Se você estiver usando o software php padrão, faça o upload de uma nova versão e trabalhe a partir daí. Você também pode entrar em contato com seu provedor de hospedagem e ver se eles podem ajudar com logs ou backups. Certifique-se de que seu software esteja totalmente atualizado no site também.

    
por 20.09.2010 / 22:25
1
  • Remova todo o código indesejado de todos os seus arquivos
  • Altere sua senha de FTP
  • Verifique se há malwares no seu computador

Possivelmente, há um vírus no seu computador que adiciona código malicioso quando você faz o upload de um arquivo.

    
por 20.09.2010 / 18:05
0

Se fosse eu, olharia primeiro para os arquivos que estão sendo exibidos. Se alguém tiver acesso de gravação aos seus arquivos da web, todos eles serão suspeitos - é possível que qualquer um dos scripts PHP existentes tenha sido modificado para incluir outro backdoor. Você pode verificar os horários de modificação dos arquivos para ver se algum deles foi modificado recentemente, mas mesmo esses não são 100% confiáveis. Algo que é comum é para os invasores executarem cadeias de caracteres esvaziadas que ofuscarão as coisas um pouco. Por causa disso, eu gosto de procurar por qualquer função "exec" em scripts PHP. Esta é realmente uma função que você pode desativar.

Depois de passar pelos arquivos, eu me certificaria de que o novo ambiente que eu construo (porque eu não confio mais no backdoor) é menos vulnerável a esses ataques. Por um lado, eu limitaria o acesso de gravação no servidor da Web para que o usuário que o serviço executa não pudesse criar arquivos. Montar diretórios que eles têm que escrever como noexec, etc Existem outras opções também, dependendo do seu sistema operacional.

Se você quiser rastrear as origens do backdoor, você pode procurar nos seus registros da Web pela primeira referência ao script backdoor, então pegar o IP que o acessou e ver o que mais no seu servidor eles acessaram. / p>     

por 21.09.2010 / 00:01

Tags

Solução de calendário baseada em UNIX que funciona com Mac, iPhone e Linux Windows Server 2008 R2 versus Tortoise SVN