Метка «ревизиум»

В процессе лечения сайтов обнаруживается множество разновидностей хакерских шеллов и бэкдоров. Скрипты отличаются функционалом и способом обфускации исходного кода, но у всех есть общая черта — это неявное объявление переменных и функций, а также косвенный вызов функций.

Данный подход популярен среди разработчиков вредоносного кода, так как с одной стороны значительно усложняет анализ исходного кода, а с другой позволяет хранить код в текстовых данных. Например, часть вредоносного кода может загружаться со стороннего сайта, из базы данных, мета-данных jpeg/png/gif или передаваться в запросе к скрипту. Кроме того, часть кода, представленная в виде обычной текстовой строки, может быть легко зашифрована.

Кстати, эти же приемы используются веб-разработчиками и в мирных целях в скриптах проверки лицензионных ключей и регистрации веб-приложений, чтобы затруднить взлом программных продуктов.

Несмотря на все многообразие вредоносного кода, существует не так много вариантов объявления и косвенного вызова функций. Ниже представлены примеры различных техник скрытого вызова кода. Для простоты и наглядности пусть «вредоносный код» представлен вызовом

echo "Test"

который выводит слово «Test» на странице. Естественно, в реальных шеллах и бэкдорах имена переменных и функций, а также исполняемый код не хранятся в открытом виде и в большинстве случаев обфусцированы.

Читать полностью »

Постановка задачи

Клиент обратился с проблемой появления скрытых ссылок на страницах своего интернет-магазина, работающего на Phpshop Enterprise 3.6. Необходимо найти код, вставляющий ссылки, удалить его и установить защиту на сайт, чтобы подобное не повторилось в будущем.

Процесс

Спам-ссылки появлялись в коде страницы в виде скрытого блока

<font style='display:none;'> 
<style> 
ul.c98ee5 { 
padding: 0 !important; 
margin: 0 !important; 
font-size: 12px !important; 
background-color: #F7F7F7 !important; 
border: 1px solid #000000 !important; 
} 
.c98ee5 li { 
list-style: none !important; 
padding: 2px !important; 
text-align: left !important; 
} 
...

</style> 
<ul class="c98ee5"> 
<li> 
<span><a 
href="http://какой-то-сайт/otdelenie-pomoshchi-na-domu/">Врач на дом платно</a></span><br /> 
<span class="text">Материалы о беременности и родах, развитии 
детей и др. Подробно о клинике.</span><br /> 
<span class="host">какой-то-сайт</span>

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js