5 Website Tumbang, Ini Shell Jenis Apa ya?

[PusatHosting]

Beberapa hari ini beberapa website tumbang dan terkena flag malware Google. Saya temukan shell jenis ini http://file.pusathosting.com/shell/shell-nov-2014.txt

itu shell jenis apa ya? ada yang tahu file sumbernya? ingin coba test
saya sudah googling tapi belum ketemu.

terakhir kali saya menemukan shell sejenis c99 tapi model ajax sehingga tidak terfilter modsec.

Tq.

 

[junior riau]

nice obfuscator ijin analisa Tuan
sekarang para defacer sudah bisa membuat encoder shell mereka sendiri
tetap pakai fungsi yang sama namun berbeda

 

[mustafaramadhan]

coba ganti eval( ke print( maka anda akan tahu isinya.

 

[Fuji Ahmad]

hampir sama dengan apa yang pernah saya temuin

kayaknya shell tersebut untuk boom email dan WP bruteforce.
soalnya setelah saya hapus file tersebut, attacker bikin file lagi untuk kirim email tp bukan tipe shell, agar susah discan.

 

[mgilank]

Wa ini setelah di print FilesMan lagi,
sudah lama di jalankan cron untuk grep kata2 Filesman ini, ternyata ada yg di obfuscate juga.

 

[PusatHosting]

coba ganti eval( ke print( maka anda akan tahu isinya.

TQ Sudah kelihatan scriptnya. Sekarang saya cari unminify php dulu barangkali ada.

 

[PusatHosting]

Ketemu https://github.com/downloads/orbweb/PHP-SHELL-WSO/wso2.5.1.php
sepertinya sudah sering ini. sedang coba2 dulu

 

[dhyhost]

Ketemu https://github.com/downloads/orbweb/PHP-SHELL-WSO/wso2.5.1.php
sepertinya sudah sering ini. sedang coba2 dulu

wso2 sepertinya memang sudah sering digunakan, tapi apa itu msk work di server CloudLinux ya ?

 

[PusatHosting]

wso2 sepertinya memang sudah sering digunakan, tapi apa itu msk work di server CloudLinux ya ?

kalau sudah masuk ke akun hosting tertentu ya websitenya sudah pasti kena. Maunya sih kalau scriptnya diakses keluar 403 forbidden sehingga script tsb tidak bisa dipakai
nah dari tadi cari rule mod_sec nya tidak ketemu.

rencananya mau memblokir request $_POST['c'] = '/home/'

jadi kalau ada variable $_POST['c'] dengan isi '/home/' maka script akan diblokir

Mungkin ada yang tahu cara blokirnya pakai modsec?

 

[mustafaramadhan]

@PusatHosting

Memangnya di CPanel tidak membatasi hak akses sebatas '/home/<user>' saja untuk setiap usernya?.