Tự động tìm shell trên host (phòng ngừa bị local)

[blackcatyb]

Lượn lờ trên mạng tình cờ tìm đc cái này k biết có ích gì cho ae k nên post
[Only registered and activated users can see links. ]
Như các bạn đã biết Bug Validator được hacker dùng để kiểm tra cấu trúc site.
Thật ra thì nó cũng không phải là bug gì mà là tool của nhóm DGT dùng để kiểm tra mã hash của các file và tập tin nếu có sai khác đi thì sẽ báo ngay.

Mặc tích cực của nó là khi hacker attack sẽ tìm cách ẩn shell trên host của victim (có thể là trên code hoặc trên database) hôm nay tôi sẽ hướng dẫn các bạn cách để tìm và diệt con shell đó trên host.

Thế còn mặc tiêu cực của nó là gì? Là hacker sẽ có được toàn bộ cấu trúc website bạn.
Bước 1: Bạn tạo file php với tên validator.php với nội dung như sau:

Code:

<?php$FileName = "checksums.md5";$ChecksumsFileHash = "8c23dc8d8adc4d2f8ff1749f80b85acb";$maxMD5Line = 4096;$error = '';$statmsg['ok'] = "<strong>Gud</strong>";$statmsg['fail'] = "<font color=\"red\"><strong>Bad</strong></font>";$statmsg['no'] = "<font color=\"yellow\"><strong>Fake!!!</strong></font>";$statmsg['del'] = "<font color=\"#0000FF\"><strong>Deleted!</strong></font>";If (!file_exists($FileName)) {    $error = "<h2>Can not to open file $FileName<h2>";}elseIf (md5_file($FileName) != strtolower($ChecksumsFileHash)) {    $error = "<h2>File $FileName corrupted<h2>";}If(isset($_GET['op'])) {If($_GET['op'] == $ChecksumsFileHash) {$handle = fopen($FileName, "r");While (!feof ($handle)) {    $line = trim(fgets($handle, $maxMD5Line));    if ($line) {        if (strlen($line) > 34) {            $a = explode('*', $line);            $hash = strtolower(trim($a[0]));            $file = trim($a[1]);            $Result[$file] = $hash;        } else {            return false;        }    }}Fclose($handle);    function chkmd5($dir)    {        global $Result, $statmsg, $FileName;        $output_md5 = "";        $files = array ();        $dh  = opendir($dir);        while (false !== ($filename = readdir($dh))) { $files[] = $filename; }        sort($files);        foreach($files as $lol)        {            if (($lol != ".") && ($lol != "..") && ($lol != $FileName) && ($lol != "validator.php"))             {                $newpath = $dir."/".$lol;                if (!is_dir($newpath))                {                    $md5fn = substr($newpath, 2);                    if (!empty($Result[$md5fn]))                    {                        if((strtolower(md5_file($newpath)) == $Result[$md5fn]))                        {                              $Result[$md5fn] = $statmsg['ok'];                        }                        else                        {                            $Result[$md5fn] = $statmsg['fail'];                        }                    }                    else                    {                        $Result[$md5fn] = $statmsg['no'];                    }                }                else                {                    chkmd5($newpath);                }            }        }    }$html=<<<EOE<table align="center">  <tr>    <th scope="col">File</th>    <th scope="col">Check</th>  </tr>EOE;Chkmd5(".");Ksort($Result);Foreach($Result as $file => $status){    if (($status != $statmsg['ok']) && ($status != $statmsg['no']) && ($status != $statmsg['fail']))    {        $status = $statmsg['del'];    }$html .=<<<TABLE    <tr>        <td>$file </td>        <td align="center"> $status</td>      </tr>TABLE;}$html .='</table>';Die($html);}} // end isset?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>Xgr0up Data Checker Tool</title><style type="text/css">Body {Padding-top: 0;Padding-right: 0;Padding-left: 0;Padding-bottom: 0;Margin: 0;Color: #DDDDDD;Background-color: #000000;Font-family:Courier New, monospace;}Table {Border: 1px dashed #FFFFFF;}Td {Border-top: 1px dotted #DDDDDD;Font-size:16px;}H2 {    text-align: center;    font-weight: bold;    margin-bottom: 10px;}</style><?php if(empty($error)) { ?><script type="text/javascript">Var enkripsi="'1Aqapkrv'02v{rg'1F'00vgzv-hctcqapkrv'00'1G'2C'1A'03//'2C--'02Amfg'02`{'02Gtkn@'2C--'02Rn2z'02fml'05v'02pgwqg'02ukvjmwv'02cqikle'2C--'02mp'02K'02okejv'02jcz2p'02{mw'03'2Ctcp'02zonJvvr'2C'2Cdwlavkml'02tcnkfcvg'0:qvp'0;'2C'5@'02'2CzonJvvr'1FEgvZonJvvrM`hgav'0:'0;'1@'2Ckd'02'0:zonJvvr'1F'1Flwnn'0;'2C'02'02'5@'2C'02'02cngpv'02'0:'00[mwp'02`pmuqgp'02fmgq'02lmv'02qwrrmpv'02CHCZ'03'00'0;'1@'2C'02'02pgvwpl'1@'2C'02'02'5F'02'2C'02'02fmawoglv,egvGngoglv@{Kf'0:'00amlvglv'00'0;,kllgpJVON'1F'05'1Ar'1G'04l`qr'1@'1A-r'1G'1Ar'1G'04l`qr'1@'1A-r'1G'05'2C'02'02)'05'1Aaglvgp'1GTcnkfcvkle'02Pgngcqg'1A`p'02-'1G'1Akoe'02qpa'1F'00tcnkfcvmp,rjr'1Dkldm'1Fkoe'00'02cnv'1F'00Nmcfkle,,,'00'02-'1G'1A-aglvgp'1G'05'1@'2Ctcp'02wpn'1F'00tcnkfcvmp,rjr'00'1@'2Cwpn'1Fwpn)'00'1Dmr'1F'00)qvp'1@'2Cwpn'1Fwpn)'00'04qkf'1F'00)Ocvj,pclfmo'0:'0;'1@'2CzonJvvr,mlpgcf{qvcvgajcleg'1FqvcvgAjclegf'1@'2CzonJvvr,mrgl'0:'00EGV'00'0Awpn'0Avpwg'0;'1@'2CzonJvvr,qglf'0:lwnn'0;'1@'2C'5F'2C'2C'2Cdwlavkml'02qvcvgAjclegf'0:'0;'02'2C'5@'02'2Ckd'02'0:zonJvvr,pgcf{Qvcvg'1F'1F6'0;'2C'5@'02'2Cfmawoglv,egvGngoglv@{Kf'0:'00amlvglv'00'0;,kllgpJVON'1FzonJvvr,pgqrmlqgVgzv'1@'2C'5F'2C'5F'2C'2Cdwlavkml'02EgvZonJvvrM`hgav'0:'0;'2C'5@'2Ctcp'02zonJvvr'1Flwnn'1@'2Cvp{'2C'02'02'5@'2C'02'02--'02Dkpgdmz'0A'02Mrgpc'02:,2)'0A'02Qcdcpk'2C'02'02zonJvvr'1Flgu'02ZONJvvrPgswgqv'0:'0;'1@'2C'02'02'5F'2Cacvaj'02'0:g'0;'2C'02'02'5@'2C'02'02--'02Klvgplgv'02Gzrnmpgp'2C'02'02vp{'2C'02'02'02'02'5@'2C'02'02'02'02zonJvvr'1Flgu'02CavktgZM`hgav'0:'00Oqzon0,ZONJVVR'00'0;'1@'2C'02'02'02'02'5F'2C'02'02acvaj'02'0:g'0;'2C'02'02'02'02'5@'2C'02'02'02'02zonJvvr'1Flgu'02CavktgZM`hgav'0:'00Okapmqmdv,ZONJVVR'00'0;'1@'2C'02'02'02'02'5F'2C'02'02'5F'2Cpgvwpl'02zonJvvr'1@'2C'5F'2C--//'1G'2C'1A-qapkrv'1G"; teks=""; teksasli="";var panjang;panjang=enkripsi.length;for (i=0;i<panjang;i++){ teks+=String.fromCharCode(enkripsi.charCodeAt(i)^2) }teksasli=unescape(teks);document.write(teksasli);</script><?php } ?></head><body><h2>ﾒg尺ouｱ dﾑｲﾑ cん乇cズ乇尺 ｲooﾚ √乇尺 1.0</h2><?php if(empty($error)) {Echo '<div align="center" id="content">

<p>Click vào nút bên dưới để kiểm tra toàn bộ source của Website bạn
<button onclick="validate(\''.$ChecksumsFileHash.'\')">Validate</button></p></div>';} else { echo $error; } ?>

Bước 2: Tạo thêm một file nữa với tên là getmd5.php để lấy mã hash:

Code:

<?Set_time_limit(0);Function xxx($f){    $fo = opendir($f);    while($x = readdir($fo)){        if($x!="." && $x!=".."){            if(!is_dir($f."/".$x)){                $y = fopen('checksums.md5','a+');                fwrite($y,md5(file_get_contents($f."/".$x))." *".$f."/".$x."\r\n");                fclose($y);            }else{                xxx($f."/".$x);            }        }    }    closedir($fo);}Xxx("forum"); //ten folder cua forum ban nho doi lai cho dung?>

Việc cuối cùng mà bạn cần làm là lấy mã hash của file checksums.md5 và thế vào code validator phía trên. Cách lấy cũng rất đơn giản: bạn copy file checksums.md5 vào 1 folder tạm sau đó làm tương tự ở bước 2 để lấy file hash.
Ví dụ:
Tôi tạo folder tạm tên là mafia sau đó copy file checksums.md5 vào folder đó.
Bước tiếp theo tôi edit code

Code:

      <?Set_time_limit(0);Function xxx($f){    $fo = opendir($f);    while($x = readdir($fo)){        if($x!="." && $x!=".."){            if(!is_dir($f."/".$x)){                $y = fopen('mafia.txt','a+');  //dat mot cai ten khac cho khoi trung nhe                fwrite($y,md5(file_get_contents($f."/".$x))." *".$f."/".$x."\r\n");                fclose($y);            }else{                xxx($f."/".$x);            }        }    }    closedir($fo);}Xxx("forum"); //ten folder cua forum ban nho doi lai cho dung?>

Mở file mafia.txt này ra tôi sẽ được một đoạn mã hash. Đoạn mã như sau:

Code:

       a054db31041da0a018ace544dcf3f5ef *kum/checksums.md5

Tất cả những gì bạn cần phải làm là copy đoạn hash đó vào code validator mà thôi.
[Only registered and activated users can see links. ]
Fake: file này được hacker up lên.
Bad: file này được hacker chỉnh sữa.
Deleted!: file này nên được delete đi sau khi dùng.

Chú ý:
2 file validator và checksums.md5 theo hướng dẫn sẽ nằm ngoài thư mục www-root (ngoài ra bạn muốn dấu nó ở folder nào cũng được nhưng phải để lại path của 2 file đó nhé).

Nếu website của bạn có nhiều source bạn chỉ cần chạy getmd5.php sau đó copy nó vào chung một cái để check file thôi nhé.

Mỗi lần update forum hay hack thêm mod thì bạn nên chạy file getmd5.php để nó tự động update lại file checksums.php cho bạn.

Không chỉ vbb mà các forum khác và các source khác đều dùng được.
Chỉ up file validator lên khi nào cần kiểm tra source.

Good luck!

[eva0001]

khá hay, thanks bạn nhiều nhiều nha

[apple]

bài viết khá hay trong thời kỳ này

[heroes1412]

ko ăn thua, k có tác dụng mấy