Залили на сервер бекдорчіков гору ... »
Народне адмінское творчість
Вобщем як то раз на одному з серверів виявився php-shell, через який злобні хакери зламали затишний дневничок ™ хорошої людини.
Після двогодинного колупання в логах Апача знайшлася діра, через яку залили шелл.
Діру прикрили, дневничок повернули до життя з резервних копій, і сіли думу думати.
Після третьої пляшки пива народилася ідея: «А чому б не відловлювати виконання системних викликів з php скриптів?».
Сенс у тому, що більшість php-Шелл так чи інакше використовують функції exec ();, system ();, shell_exec (); або passthru ();. Відповідно до виконання цих функцій можна перехопити і тихенько в лог записати, що такого-то числа такий-то скрипт на такий-то рядку викликав функцію exec () з параметром «rm-rf /».
Сказано-зроблено. Доброму людині kastigar було поставлено тех. завдання і робота закипіла.
Вже як він расковирівал тонкощі Zend Engine я розповідати не буду, але врешті-решт народилося розширення для PHP4/PHP5 під кодовим ім'ям BAXTEP.
Спочатку ми не планували викладати код в загальний доступ, бо писалося все загалом і в цілому «для себе» і «від і до» не тестувалося, але дух open source все-таки взяв своє - і исходники були викладені на GoogleCode.
Немає коментарів:
Дописати коментар