0

在通过漏洞上传文件后进行站点修复。检查文件后,发现了一个名为“Syrian Shell”的脚本。

我在 pastebin 上找到了它的一个版本:http://pastebin.com/raw.php?i=MWRJYFyZ

有谁知道它的核心目的?它可以利用系统多深?

我需要清理这个特定的服务器,所以如果有人有这方面的经验,我感谢你的帮助。谢谢。

更新

对于所有要求查看脚本的怪异小子黑客,此粘贴已更新:

http://pastebin.com/kiqz88ce

4

3 回答 3

2

如果您的盒子遭到破坏,请将其格式化,并首先修补任何使用的安全漏洞。如果您为格式化而哭泣,那么您显然没有一个好的服务器配置过程。下一次,使用标准化(自动化)配置和配置管理系统,如 Puppet。由于 kickstart 配置和我们的配置管理服务器,重新创建一个盒子对我个人来说不会超过几次击键。

于 2012-01-02T05:43:44.400 回答
0

浏览它的前半部分,该脚本似乎是诊断性的。

好处是它似乎不会直接损害服务器或任何数据。缺点是,如果他们了解它产生的数据;他们会比你更了解你的服务器。这包括安全漏洞。

它由 POST 参数提供支持,这些参数告诉它要输出什么信息。很多都是在if-else-if块中工作的,这意味着一次只能完成几个。检查涉及该文件的服务器请求并查看他们请求的信息。

编辑:

我说得太早了。我向下滚动了一点,有一些攻击性功能。我认为现在检查服务器日志更加重要。

于 2012-01-02T05:09:28.677 回答
0

如果您的盒子包含 - 格式化并重新安装。你永远不会知道你的盒子穿透的深度。他们登录并安装了软件——您可能会受到严重威胁。

于 2012-01-02T05:14:36.770 回答