Come si può caricare una backdoor? [chiuso]

-1

Sto ispezionando un sito web Wordpress per un client e ho trovato che alcuni backdoor erano presenti nella cartella webroot.

Ora devo capire come ha fatto l'autore dell'attacco a riesaminare il codice sorgente che il client mi ha fornito.

Quali sono i modi con cui un utente malintenzionato può caricare una backdoor? Su quale parte del codice dovrei concentrarmi?

    
posta ibrahim87 05.11.2014 - 23:41
fonte

1 risposta

2

Non considerare questo come un insulto, ma il fatto che non sai da dove iniziare è un ostacolo. Considera quanto segue: Controlla il codice in modo frammentario solo per scoprire qualcuno in ssh'd e inserisci la backdoor nella cartella webroot. Allora cosa? Hai perso tempo.

La soluzione migliore è cercare di determinare quando ciò è avvenuto tramite l'analisi del registro, che probabilmente rivelerà quale plug-in o vulnerabilità di wordpress è stata sfruttata. Per fare questo, vorrei rilasciare un ls -ltha sul file stesso per ottenere un timestamp (sperando che qualcuno non lo abbia modificato). Una volta ottenuto il timestamp, passerei quindi attraverso i log degli accessi e degli errori del server web per quel periodo di tempo, analizzerei il nome dell'applicazione e così via.

La mia impressione mi dice che qualcuno ha sfruttato un plugin vulnerabile, o una versione di wordpress, nel qual caso il tempo speso sprecato per analizzare il codice sarebbe stato usato in modo più produttivo sugli aggiornamenti e per rendere sicuro il sistema.

Per quanto riguarda il modo in cui la backdoor potrebbe essere stata caricata, questa è ampia. Fino a quando non decidi se è stato caricato o meno PERCHÉ di wordpress stai giocando a indovinare. Come fai a sapere che qualcuno non ha forzato il server (ssh) e poi lo ha caricato? ... Analizzare prima i file di registro per il server.

    
risposta data 05.11.2014 - 23:50
fonte

Leggi altre domande sui tag