QuanTriMang.com - Backdoor.PHP.C99Shell.w - Bảo mật, thủ thuật, mạng máy tính, hệ điều hành, tin học văn phòng - Quan tri mang: Kien thuc quan tri mang,bao mat,thu thuat,mang LAN,mang WAN,he dieu hanh

Tin IT trong nước Tin IT quốc tế Kiến thức cơ bản HĐH Windows HĐH Unix-Linux Mail Server Máy tính xách tay Thiết bị số Database Mạng LAN, WAN Bảo mật Virus - Spyware Hacker Cisco Lab Microsoft Lab Video E-books Thủ thuật Tin học văn phòng Đồ họa máy tính Doanh nghiệp 2.0 Hỏi - Ðáp

» BẢO MẬT » Virus - Spyware

RSS

Backdoor.PHP.C99Shell.w

Cập nhật lúc 14h20' ngày 11/08/2008

Bản in
Gửi cho bạn bè
Phản hồi

Xem thêm: backdoor, code php, c99shell, mô tả virus

Ngày phát hiện: 12 – 09 – 2007
Hiểm họa: Backdoor

Chi tiết kỹ thuật

Trojan này cho phép người dùng nguy hiểm từ xa truy cập vào máy tính nhiễm độc. Nó là một đoạn mã kịch bản PHP có dung lượng 229051 byte.

Cài đặt

Backdoor này có thể được cài đặt trên một máy chủ web bởi một người dùng độc hại từ xa bằng cách upload nó lên thông qua FTP, sử dụng tài khoản ăn trộm được từ quản trị viên. Nó cũng có thể được sử dụng để khai thác một loạt các lỗ hổng website và thông qua đó upload một file ngẫu nhiên lên thư mục có chứa các kịch bản site. Khi nó thành công, một trang ẩn sẽ xuất hiện trên site. Nếu mở trang này ra sẽ cho phép người dùng độc hại khởi chạy backdoor và thi hành các hàm độc hại của nó.

Hoạt động

Backdoor này được thiết kế để cung cấp từ xa, không có quyền quản trị của các máy chủ web. Khi backdoor chạy, người dùng độc hại sẽ thấy một giao diện backdoor như sau:

Backdoor có thể kiểm soát các hành động sau trên máy chủ từ xa:

1. Cho phép truy cập toàn quyền lên các file trên ổ cứng

2. Tính toán phạm vi của các bản hash cho chuỗi

3. Chạy trình duyệt lệnh và kết nối chuẩn input/output chuẩn của nó với một cổng TCP cụ thể.

4. Kết nối input/output chuẩn của trình duyệt lệnh với dữ liệu từ máy chủ IRC (datapipe)

5. Xem một danh sách các quá trình được chạy trên máy chủ

6. Thực thi ngẫu nhiên một đoạn code PHP

7. Download/ upload các file từ máy chủ về và ngược lại

8. Tìm kiếm các file trên ổ cứng máy chủ với nội dung cụ thể

9. Quản lý cơ sở dữ liệu mysql (xem/tạo/sửa cơ sở dữ liệu/bảng)

10. Chạy các dòng lệnh Shell

11. Quét các tài khoản máy chủ FTP có mật khẩu yếu (ví dụ như tên tài khoản và mật khẩu khớp với nó)

12. Xóa bản sao của chính nó từ ổ cứng máy chủ bằng lệnh

13. Tạo một tài khoản người dùng không cần mật khẩu

14. Xem các người dùng hoạt động trên hệ thống

15. Xóa các bản ghi hoạt động của chính nó trong phần log máy chủ Apache

16. Khai thác loạt các lỗ hổng của nhân Linux và trình dịch lệnh bash.

17. Chạy thông qua máy chủ proxy dưới

http://*****faced.org/proxy/index.php?q=

Để ẩn đi địa chỉ của người dùng độc hại từ xa.

Hướng dẫn gỡ bỏ

Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:

1. Xóa file chương trình mã độc gốc trên máy (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân).

2. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.

Theo Virus List

Xem thêm: backdoor, code php, c99shell, mô tả virus

Đánh giá(?):