5 Website Tumbang, Ini Shell Jenis Apa ya?

Discussion in 'Masalah Teknik dan Keamanan' started by PusatHosting, 14 Nov 2014.

Thread Status:
Not open for further replies.
  1. PusatHosting

    PusatHosting Hosting Guru Web Hosting

    Messages:
    3,336
    Likes Received:
    326
    Trophy Points:
    83
    Beberapa hari ini beberapa website tumbang dan terkena flag malware Google. Saya temukan shell jenis ini http://file.pusathosting.com/shell/shell-nov-2014.txt

    itu shell jenis apa ya? ada yang tahu file sumbernya? ingin coba test
    saya sudah googling tapi belum ketemu.

    terakhir kali saya menemukan shell sejenis c99 tapi model ajax sehingga tidak terfilter modsec.

    Tq.
     
  2. junior riau

    junior riau Hosting Guru Web Hosting

    Messages:
    3,227
    Likes Received:
    514
    Trophy Points:
    113
    nice obfuscator ijin analisa Tuan :)
    sekarang para defacer sudah bisa membuat encoder shell mereka sendiri
    tetap pakai fungsi yang sama namun berbeda
     
  3. mustafaramadhan

    mustafaramadhan Hosting Guru

    Messages:
    3,237
    Likes Received:
    857
    Trophy Points:
    113
    coba ganti eval( ke print( maka anda akan tahu isinya.
     
    PusatHosting likes this.
  4. Fuji Ahmad

    Fuji Ahmad Apprentice 2.0

    Messages:
    460
    Likes Received:
    61
    Trophy Points:
    28
    hampir sama dengan apa yang pernah saya temuin

    [​IMG]

    kayaknya shell tersebut untuk boom email dan WP bruteforce.
    soalnya setelah saya hapus file tersebut, attacker bikin file lagi untuk kirim email tp bukan tipe shell, agar susah discan.
     
  5. mgilank

    mgilank Apprentice 1.0

    Messages:
    262
    Likes Received:
    34
    Trophy Points:
    28
    Wa ini setelah di print FilesMan lagi,
    sudah lama di jalankan cron untuk grep kata2 Filesman ini, ternyata ada yg di obfuscate juga.
     
  6. PusatHosting

    PusatHosting Hosting Guru Web Hosting

    Messages:
    3,336
    Likes Received:
    326
    Trophy Points:
    83
    TQ Sudah kelihatan scriptnya. Sekarang saya cari unminify php dulu barangkali ada.
     
  7. PusatHosting

    PusatHosting Hosting Guru Web Hosting

    Messages:
    3,336
    Likes Received:
    326
    Trophy Points:
    83
  8. dhyhost

    dhyhost Hosting Guru Web Hosting

    Messages:
    3,932
    Likes Received:
    614
    Trophy Points:
    113
    wso2 sepertinya memang sudah sering digunakan, tapi apa itu msk work di server CloudLinux ya ?
     
  9. PusatHosting

    PusatHosting Hosting Guru Web Hosting

    Messages:
    3,336
    Likes Received:
    326
    Trophy Points:
    83
    kalau sudah masuk ke akun hosting tertentu ya websitenya sudah pasti kena. Maunya sih kalau scriptnya diakses keluar 403 forbidden sehingga script tsb tidak bisa dipakai
    nah dari tadi cari rule mod_sec nya tidak ketemu.

    rencananya mau memblokir request $_POST['c'] = '/home/'

    jadi kalau ada variable $_POST['c'] dengan isi '/home/' maka script akan diblokir

    Mungkin ada yang tahu cara blokirnya pakai modsec?
     
  10. mustafaramadhan

    mustafaramadhan Hosting Guru

    Messages:
    3,237
    Likes Received:
    857
    Trophy Points:
    113
    @PusatHosting

    Memangnya di CPanel tidak membatasi hak akses sebatas '/home/<user>' saja untuk setiap usernya?.
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...