а можно ли шеллы запускать из архива с паролем ? шелл как бы в контейнере с паролем но работает при правильном пароле ? ps стандарнтые способы как то обнаруживают - хоть и зашифрован, но чем обнаруживают ? может ли это быть скрипт который смотрит появление новых файлов на хосте ? а как этот скрипт способы есть найти и удалить, а потом шелл ставить ?
чувак ты вообще понимаешь как работает php и тот же бекэнд? если есть рут доступ, можно написать такой мега изврат, но это тупо по твоему вопросу, попробуй залить обычный файл, не шелл, а тот же пхпинфо или ещё какую-то беспаливную хрень, если запалят/удалят, значит действительно чекаеют диры и сравнивают хеш суммы P.s. ну и посты тут встречаются, школота добралась до хака эх, хорошо хоть каникулы у них скоро закончатся
[QUOTE = "CodeHunter, должность: 3872225, член: 268122"] на хостинге не пошло Запрещено: вредоносный файл был обнаружен. Определен как: PHP.Shell-38 печалька [/ QUOTE] Этот попробуй https://github.com/HARDLINUX/webshell Или воспользуйся еще этим http://fopo.com.ar/
на хостинге отключили ftp, хотел wso поставить сделал в билдере только файловый менеджер - хоть он и зашифрован, но его палит хостинг Forbidden: a malicious file has been detected. Detected as: PHP.Shell-38 как сделать что бы обходил палево ? шел то с паролем, + проверяет доступ к нему по кукам, ip и юзерагенту вместе
Сменить сигнатуру шифрования/оббуссифекации, или попросить тех кто умеет это если не можете сами... zend сильно в глаза бросается при выявлении шелла на площадке Можно использовать свою функцию, которая будет декриптовать шелл, скажем по ключу из сессии, естественно и упаковщик под него надо писать, где и будет задаваться ключ для декриптора, также можно сделать так чтоб распаковывался и сам архив с заданным паролем, но тут нужно выполнение системных команд, которые включены не везде... Стандартные упаковщики, которые палится всем чем можно!
Заархивировать в PHP нельзя. Ну по крайней мере до 5,5 включительно. Про PHP 7 не знаю, но скорее всего и там нельзя. То есть функции архивации там есть, но работают они только с данными. То что разорхивировано запустить в памяти нельзя, только создавать новый хайл и его запускать. По поводу детекта ниже. Для детекта на хостингах обычно используются два основных метода. 1. Мод секюрити с обвесом, его можно обходить без особого труда, т.к. там обычный сигнатурный анализ 2. DrWeb, его увы не обойдешь никак. Он использует для анализа песочницу, где запускает файл и после его декрипта анализирует. Ловит по наличию опасных функций и кусков кода, обойти его нельзя.
Архивы поддерживаются давно, но через врапперы, а начиная с версии 5.3 архив phar можно поместить непосредственно в файл php. Wso без проблем работает в таком архиве.
появилась возможность разместиь шелл с сайтом на wordpress, но хостинг http://www.hostinger.ru блокирует wso шелл, даже зашифрованый + запароленый, после ввода пароля пишет Forbidden: a malicious file has been detected. Detected as: PHP.Shell-38 есть ли билдеры - которые нормально шифруют шелл, что бы тот не обнаруживался хостингом ?
как внедрить wso - который зашифрован и система на него не сигнализирует в файлы cms ? админ сайта на bitrix использует скрипт который делает md5 хеши всех файлов, показывает появление любых новых файлов, удаление файлов и редактирование. все загруженые шеллы были удалены, даже загружал в картинке, её тоже но заметил когда внес тестовую правку - добавил iframe, который был просто зашифрована в base 64 в файл, и он остался нетронутым можно ли шелл залить в какой либо файл, который удалить он не сможет тк из за него перестанет cms работать, и как выполнить шелл в рабочем файле cms, ведь прямым обращением может вызываться файл cms ?
и причем надо размер файла чтоб не менялся - тоесть даже если делать фрейм то удалять надо такое же количество строк и т.п.
я хочу опробовать разместить в файле, размер его не сильно увеличится, подумываю что админ не сильно разбирается и вырезать из кода шелл не повредив файл затруднит его по крайней мере нужно проверить на практике
если админ не сильно разбирается, то можно часть кода самой CMS зашифровать вместе с шеллом, в результате при сносе шифрованного участка с шелом, сносится и часть кода CMS в результате чего упадет сайт, бональная альтернатива заменить орегинальным файлом сайта
dondy, если проверка файлов по маске, то можно в .htaccess AddType application/x-httpd-php .mp4 .etc и шелл со своим расширением или в файл eval/include с base64, накрайняк код пихнуть типа function bitrix_secure_code(...){...} и по кукам юзать т.е. в существующую ф-ию добавить ф-ию и ещё раз в другую ф-ию ф-ию + запутать проверками типа if (isset($bla)) и добавив else {die("Hacking attempt");} - вырежит - система перестанет работать.
