ช่วยถอดรหัสหน่อยครับ

[smapan]

ช่วยถอดรหัสหน่อยครับ เว็บลูกค้าโดนแฮกน่ะครับ
เป็น web shell ครับ อยากรู้ว่าในโค้ดเค้าส่งข้อมูลไปที่ไหน
https://dl.dropbox.com/u/65693190/code.txt

**เอาที่แจกออกเพราะเพื่อนๆ บอกว่าไม่เหมาะ

[thenetxx]

งงคำถาม

- - php shell

ไม่ได้ส่งข้อมูลไปที่ไหนครับ เมื่อ hacker อัพ shell ขึ้นมาไว้บน server ได้

จาก script ตัวที่ให้มาดู เมื่อมีคนรันสคริป เบื้องต้นมันจะทดสอบดึงข้อมูลไฟล์ต่างขึ้นมาดู แล้วส่งไปหาข้อมูลต่อที่ http://www.exploit-db.com เพื่อดูว่า มีช่องโหว่ไหนจะเจาะได้บ้าง

และสามารถรันคำสั่งอะไรได้บ้าง เหมือนใช้ connect sh เข้าไป

ดังนั้น คนที่จะดึงข้อมูลไปได้คือคนที่รันสคริปตัวนี้ เบื้องต้นก็ดูจาก apache log ครับว่า ip ไหนบ้างที่รันไฟล์นี้คนแรก(ส่วนมากจะ connect ผ่าน proxy หาตัวไม่เจอง่าย ๆ หรอก)

ดังนั้นที่ทำได้ ก็แค่ลบไฟล์ทิ้ง และค้นหาว่า เค้าอัพไฟล์ php shell ขึ้นมาได้ยังไง แล้วปิดช่องโหว่ ครับ ^^

[smapan]

งงคำถาม

- - php shell

ไม่ได้ส่งข้อมูลไปที่ไหนครับ เมื่อ hacker อัพ shell ขึ้นมาไว้บน server ได้

จาก script ตัวที่ให้มาดู เมื่อมีคนรันสคริป เบื้องต้นมันจะทดสอบดึงข้อมูลไฟล์ต่างขึ้นมาดู แล้วส่งไปหาข้อมูลต่อที่ http://www.exploit-db.com เพื่อดูว่า มีช่องโหว่ไหนจะเจาะได้บ้าง

และสามารถรันคำสั่งอะไรได้บ้าง เหมือนใช้ connect sh เข้าไป

ดังนั้น คนที่จะดึงข้อมูลไปได้คือคนที่รันสคริปตัวนี้ เบื้องต้นก็ดูจาก apache log ครับว่า ip ไหนบ้างที่รันไฟล์นี้คนแรก(ส่วนมากจะ connect ผ่าน proxy หาตัวไม่เจอง่าย ๆ หรอก)

ดังนั้นที่ทำได้ ก็แค่ลบไฟล์ทิ้ง และค้นหาว่า เค้าอัพไฟล์ php shell ขึ้นมาได้ยังไง แล้วปิดช่องโหว่ ครับ ^^

แก้ไขให้แล้วครับ เป็น web shell ที่เขียนด้วย php ครับ
ผมเห็นว่าเค้า encode ไว้แน่นหนาครับ พร้อมกับมีการเขียนไฟล์ อัตโนมัติหลังเปิดไฟล์ครับ เลยสงสัยว่ามีการแก้ไขอะไรที่ไหนอีกบ้างนอกจาก ที่เห็นครับ

ส่วนไฟล์ที่สองผมถอดได้แล้ว ไม่มีปัญหาครับ แค่เอามาแจก เผื่อจะมีประโยชน์กับบางคนครับ

[AbuseMan]

ผมว่าแจกแบบนี้ไม่ดีแน่ครับ หลายคนเอาไปลงลองเล่นในโฮสแน่นอน

อีกทั้งแบบนี้เหมือนแจกเครื่องมือที่ทำให้นำไปใช้ในทางที่ผิดได้

อันนี้แค่ความเห็นส่วนตัว

[MeenyFancy]

มาไม่ทัน อิอิ