在通过漏洞上传文件后进行站点修复。检查文件后,发现了一个名为“Syrian Shell”的脚本。
我在 pastebin 上找到了它的一个版本:http://pastebin.com/raw.php?i=MWRJYFyZ
有谁知道它的核心目的?它可以利用系统多深?
我需要清理这个特定的服务器,所以如果有人有这方面的经验,我感谢你的帮助。谢谢。
更新
对于所有要求查看脚本的怪异小子黑客,此粘贴已更新:
在通过漏洞上传文件后进行站点修复。检查文件后,发现了一个名为“Syrian Shell”的脚本。
我在 pastebin 上找到了它的一个版本:http://pastebin.com/raw.php?i=MWRJYFyZ
有谁知道它的核心目的?它可以利用系统多深?
我需要清理这个特定的服务器,所以如果有人有这方面的经验,我感谢你的帮助。谢谢。
对于所有要求查看脚本的怪异小子黑客,此粘贴已更新:
如果您的盒子遭到破坏,请将其格式化,并首先修补任何使用的安全漏洞。如果您为格式化而哭泣,那么您显然没有一个好的服务器配置过程。下一次,使用标准化(自动化)配置和配置管理系统,如 Puppet。由于 kickstart 配置和我们的配置管理服务器,重新创建一个盒子对我个人来说不会超过几次击键。
浏览它的前半部分,该脚本似乎是诊断性的。
好处是它似乎不会直接损害服务器或任何数据。缺点是,如果他们了解它产生的数据;他们会比你更了解你的服务器。这包括安全漏洞。
它由 POST 参数提供支持,这些参数告诉它要输出什么信息。很多都是在if-else-if
块中工作的,这意味着一次只能完成几个。检查涉及该文件的服务器请求并查看他们请求的信息。
我说得太早了。我向下滚动了一点,有一些攻击性功能。我认为现在检查服务器日志更加重要。
如果您的盒子包含 - 格式化并重新安装。你永远不会知道你的盒子穿透的深度。他们登录并安装了软件——您可能会受到严重威胁。