Ngày hôm nay trong khi manhtuong nhận được một tin từ khách hàng là website bị hacked tấn công và không biết mã độc ở đâu dù đã sử dụng các phần mềm quét mã độc như maldet… mình bắt tay vào làm và phát hiện ra một các sử dụng mã độc khá dị và quan trọng nó vẫn có thể chạy từ xa dựa trên github.

Mã độc này là wso 2.6 tuy nhiên mã độc này lại nằm trên github thay vì nằm trên host để chạy. mình phát hiện ra đoạn code sau đây:

Hàng loạt các hàm curl để tải nội dung file mã độc về và chạy, đường link mã độc được xác thực trong hàm a, đây là mã độc và nằm trên github

Sau đó mã độc này sử dụng eval để chạy mã độc với chức năng hoàn chỉnh như file mã độc này nằm trên hosting

Với cách này mình thấy nó hiệu quả với mọi con shell mình mang ra thử nghiệm như byg, vhb shell…

Đây là cách chạy mã độc website hết sức nguy hiểm vì nó có thể trà trộn vào bất cứ đâu với đoạn mã ít bị nghi ngờ để tiến hành âm thầm ăn cắp thông tin, gay ảnh hưởng tới sự hoạt động của website!

Leave a Reply

avatar
  Subscribe  
Notify of