cyberhostservice
Expert 1.0
Maksud saya itu pakai software atau script ? namanya apa ?
[Ask] Script File Mencurigakan
- Thread starter xpreborn
- Start date
- Status
ozancakep
Beginner 1.0
kalo saya pake ini om kebetulan nemu di grup sebelah http://pastebin.com/Q9J9Fcbw silahkan di coba smoga bisa bermanfaat
itu srcipt php om yang saya buka di web browser mozilla. kalo nama shellnya saya gak tau soalnya bukan saya yang bikin om
ozancakep
Beginner 1.0
kerenitu srcipt php om yang saya buka di web browser mozilla. kalo nama shellnya saya gak tau soalnya bukan saya yang bikin om
xpreborn
Apprentice 1.0
Terimakasih banyak om, izin coba gunakan yach, sapa tahu ada diupload ke folder2 lain yg blm saya temukan,
Shell
Poster 1.0
bagi2 donk om script nya buat .. deteksi backdoor ...itu srcipt php om yang saya buka di web browser mozilla. kalo nama shellnya saya gak tau soalnya bukan saya yang bikin om
RumahRandi
Apprentice 1.0
pake backdoorscanner, nanti di upload ke hosting file nya, untuk scan file2 "aneh", klo udah tgl delete aja...
kalo mau aman, upload ulang aja backup yg masi bersih, nah langsung diupdate..
IIXPLANET
Expert 2.0
teman2 bagi yg punya shell2 terbaru mau donk filenya bs di upload dalam bentuk txt zip jpg png ke http://www.solusihosting.net/t.php
kebetulan saya lg melakukan riset buat program defender untuk website user realtime dalam blocking malware dan viri jadi tanpa harus scan dia sudah auto protect
yg umum biasa script di masukan dalam injeksi plugin / themes / upload multiform part data.
apabila ketika memasukan file keluar 403 berarti files tersebut sudah masuk ke viri hex database ya guys
sementara saya baru mengumpulkan sekitar 6000 an signature khusus buat shell dan backdoor
kebetulan saya lg melakukan riset buat program defender untuk website user realtime dalam blocking malware dan viri jadi tanpa harus scan dia sudah auto protect
yg umum biasa script di masukan dalam injeksi plugin / themes / upload multiform part data.
apabila ketika memasukan file keluar 403 berarti files tersebut sudah masuk ke viri hex database ya guys
sementara saya baru mengumpulkan sekitar 6000 an signature khusus buat shell dan backdoor
xpreborn
Apprentice 1.0
Saya coba upload yg saya dapat kemarin infonya gini Om :
Code:
Forbidden
You don't have permission to access /t.php on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.Apakah itu artinya itu sdh ada di databasenya Om dan dalam proses riset ? atau saya yg ga punya akses untuk upload file php
Jika iya bagi2 yach Om info pencegahannya, moga2 saya "korban" yg terakhir dan tak ada lg selanjutnya
IIXPLANET
Expert 2.0
@ mas xpreborn iya mas sudah ada di entry database virus nya mas berarti jika 403 forbidden
jadi ketika file itu di coba upload dari sistem akan auto scan dengan correct value hex dalam file tersebut dengan melakukan filterisasi ke memory map hitungan ms
jadi misal file tersebut andai coba di rename ke file lain atau di modify dalam file aslinya baik penambahan char atau pengurangan variable sistem masih dapat mengenali sampai sekitar 50% modify char files
jika dia keterangannya file uploaded success berarti belum masuk ke db listnya
sample log nya seperti ini :
[02/Mar/2016:04:01:06 +0700] VtYDEsYYjy0AAGS4I@UAAAAD 104.156.228.142 39879 x.x.x.x 8088
--84387f33-B--
POST /wp-content/plugins/reflex-gallery/admin/scripts/FileUploader/php.php?Year=2016&Month=02 HTTP/1.1
Host: xxx.com
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:34.0) Gecko/20100101 Firefox/34.0
Content-Type: multipart/form-data; boundary=e07d3a173b7e46af9a9ae0a22133d306
Cache-Control: max-age=259200
Content-Length: 502
X-Forwarded-For: 104.156.228.142
connection: close
X-Varnish: 775993947
--84387f33-I--
action=upload%5fad%5fimage&path=
--84387f33-F--
HTTP/1.1 403 Forbidden
Content-Length: 389
Connection: close
Content-Type: text/html; charset=iso-8859-1
--84387f33-H--
Message: Access denied with code 403 (phase 2). Malware_detect_input_1_DEM.php5 (100)
Ini path bug script yg dipakai buat injeksi ke server melalui plugin user
POST /wp-content/plugins/reflex-gallery/admin/scripts/FileUploader/php.php?Year=2016&
dan ini metode yg dipakai buat eksekusi filenya
action=upload%5fad%5fimage&path=
Malware_detect_input_1_DEM.php5 (100)
ini jenis tipe virus / malware yg terdetect dari databse
jadi ketika file itu di coba upload dari sistem akan auto scan dengan correct value hex dalam file tersebut dengan melakukan filterisasi ke memory map hitungan ms
jadi misal file tersebut andai coba di rename ke file lain atau di modify dalam file aslinya baik penambahan char atau pengurangan variable sistem masih dapat mengenali sampai sekitar 50% modify char files
jika dia keterangannya file uploaded success berarti belum masuk ke db listnya
sample log nya seperti ini :
[02/Mar/2016:04:01:06 +0700] VtYDEsYYjy0AAGS4I@UAAAAD 104.156.228.142 39879 x.x.x.x 8088
--84387f33-B--
POST /wp-content/plugins/reflex-gallery/admin/scripts/FileUploader/php.php?Year=2016&Month=02 HTTP/1.1
Host: xxx.com
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:34.0) Gecko/20100101 Firefox/34.0
Content-Type: multipart/form-data; boundary=e07d3a173b7e46af9a9ae0a22133d306
Cache-Control: max-age=259200
Content-Length: 502
X-Forwarded-For: 104.156.228.142
connection: close
X-Varnish: 775993947
--84387f33-I--
action=upload%5fad%5fimage&path=
--84387f33-F--
HTTP/1.1 403 Forbidden
Content-Length: 389
Connection: close
Content-Type: text/html; charset=iso-8859-1
--84387f33-H--
Message: Access denied with code 403 (phase 2). Malware_detect_input_1_DEM.php5 (100)
Ini path bug script yg dipakai buat injeksi ke server melalui plugin user
POST /wp-content/plugins/reflex-gallery/admin/scripts/FileUploader/php.php?Year=2016&
dan ini metode yg dipakai buat eksekusi filenya
action=upload%5fad%5fimage&path=
Malware_detect_input_1_DEM.php5 (100)
ini jenis tipe virus / malware yg terdetect dari databse
Last edited:
- Status