Удаляется шелл

Привет, подскажите пожалуйста, значит заливаю шелл в жумлу через шаб, пока меняю все обратно шел сносят. Не проходит и минуты, руками же не могут так быстро?Мож кто сталкивался?В чем может быть дело?

 

может веб на винде и шелл сносит антивирус?

 

в тмп льёшь?

 

на винде или нет хз, лью куда попало , сразу в несколько папок лил, во всех снесло

зы и в папку другого реса и тоже самое

 

ну как это хз? так посмотри.
залей другой шелл или левый файл, или вообще пустой. возможно по сигнатурам и вправду антивирь палит.

 

Щас активно стали использовать компоненты по расширенным сигнатурам, что в итоге автоматом сносит шелл, так что перекриптовывайте сам шелл и функции на вывод.

 

Веб на линуксе, через админку шелл можно залить только правкой шаблона,который там один. Шеллы ,которые льются дальше, сразу удаляются.
Даже если просто в шаблон добавить код (iframe или какой-то другой) тоже сносится, потом опять появляется, короче я такого еще не видел, мистика какая то))

 

Во-первых, хватит лить палевное дерьмо типа wso. Во-вторых, в моде всякие waf-плагины для цмсок, посмотрите в эту сторону. В-третьих, у вас вообще есть подтверждение залитого файла?

 

а что такое беспалевное можно попробовать залить, хм...?

 

По сути, что угодно, кроме wso. Хороший вариант - weevely. Маленький, крайне удобный, со встроенным криптором. Вообще, сигнатурно искать что-либо интерпретируемое - заведомо дурная идея. Это работает лишь на нубах и их wso. Лично видел на одном весьма крупном сервере админские скрипты, один из которых так и назывался - find_wso.sh.

 

и weevely не помог(((
видать бекап какойто стоит, при изменении сразу откатывать к прежнему состоянию

 

у вас вообще есть подтверждение залитого файла?

 

ну да, я же заливаю шелл , с него еще один. Захожу со второго шелла сек. 10 он работает и 404

 

Был аналогичный случай, просто перекриптовал свой шел и все норм.

 

Залейте что-нибудь безобидное. <? echo(1); ?> / <? phpinfo(); ?>
Как вариант, вообще тупо текст под расширением .php . Если это тоже пропадет - дело далеко не в крипте, а в озлобленной и неудовлетворенной активной IPS\IDS.

Если это тереть не будут, в чем сомневаюсь, то да, дело в сигнатурах.

Отпишите по результатам, любопытно глянуть.

Как я уже говорил, тот же weevely, который не прокатил у ТС, имеет встроенную обязательную криптовку и весит на порядок-другой меньше того же wso. Весьма маловероятно, что он может спалиться по сигнатурам.

 

Залил файлик .php, просто с текстом gwegwegipewmjngoewngewgn.
Повисел ровно столько же, сколько шелл код.


ps ща опять заработал, отпишу когда перестанет

 

В любом случае, у вас есть рабочий шелл, пусть и на секунды. Этого более чем хватит. Вариантов в целом два:
1) Загнать весь нужный функционал в один файл, потом выполнить его и подняться
2) Каждые n<10 секунд тупо перезаливать шелл. Реализуется легко. Т.к. мы имеем дело с протоколом и сервером, где один запрос - один ответ - один файл, перебоев, скорее всего, просто не будет.

 

Спасибо большое за советы, но на это не хватит моих знаний)

А чем можно попробовать закриптовать?

 

Так вы расскажите, что стало с безобидным .php? Таки удаляется или нет?

 

как не странно, но пока на месте)