Connessioni della shell inversa

Secondo la mia esperienza, molte persone si concentrano sulla prevenzione degli attacchi in primo luogo e non sulla mitigazione dell'impatto. Pertanto, le regole dei firewall in uscita spesso non sono una priorità. Soprattutto perché è necessario definire le eccezioni per i server di aggiornamento, se si desiderano aggiornamenti automatici. L'elenco degli indirizzi IP deve essere aggiornato uptodate.

Nella mia esperienza è più comune per gli attaccanti provare a caricare phpshell / perlshell / etc. nei moduli di caricamento dei file. L'utente malintenzionato si augura che i file vengano archiviati in una cartella raggiungibile tramite il server Web con l'esecuzione di script abilitata. O per iniettare codice php e inclusioni remote nei parametri di richiesta. Inoltre gli attacchi SQL e XSS sono abbastanza comuni, così come il phishing. Ovviamente le mie osservazioni sono condizionate dalle aree in cui sono attivo: applicazione web e sicurezza del gioco online.

Detto questo, è ovviamente sempre una buona idea avere regole firewall in uscita.

Il tuo firewall avrà alcuni porte aperte in uscita, e i cattivi lo troveranno e lo useranno. Di solito è possibile eseguire il tunneling sulla porta 443 (HTTPS), oppure in caso contrario, è possibile nascondere i messaggi HTTP inoltrati attraverso un server proxy. Diamine, il prodotto PositivePRO VPN fa (o almeno lo ha fatto).

Il tuo server potrebbe avere una regola del firewall in uscita, e il cattivo potrebbe essere in grado di disabilitarlo o aggirarlo, a seconda di quanto sei di proprietà (e tieni presente che puoi affermare che non ci sono " gradi "di proprietà - tu sei o non sei).

Perché conchiglie? Bene, puoi generalmente fare qualsiasi cosa da un prompt dei comandi che puoi fare da una GUI, e solitamente di più. Sono anche più veloci e più leggeri di, ad esempio, il tunneling di un'applicazione grafica tramite RDP. Possono essere più facili da nascondere sulla scatola e hanno una memoria più piccola e un ingombro della CPU.