Cara mencari lokasi shell backdoor melalui server


Status
Not open for further replies.

rajawebhost

Beginner 2.0
Tinggal dihapus saja script2 yang aneh2 itu atau di test dulu barangkali saja berbahaya sehingga bisa cari2 penangkalnya.

betul banget kata Kang PH, coba Tuan buka aja dulu di test !
misal report di hasil.txt adalah painem/public_html/aku-ganteng/shell.php

Tuan buka aja di browser !
hxxp://painem.com/aku-ganteng/shell.php
ganteng.gif


Amati bagaimana tampilannya? Kalau mencurigakan langsung RM ( rumah makan ) aja Tuan !
ngakak.gif
 

bintang

Apprentice 2.0
betul banget kata Kang PH, coba Tuan buka aja dulu di test !
misal report di hasil.txt adalah painem/public_html/aku-ganteng/shell.php

Tuan buka aja di browser !
hxxp://painem.com/aku-ganteng/shell.php
ganteng.gif


Amati bagaimana tampilannya? Kalau mencurigakan langsung RM ( rumah makan ) aja Tuan !

Klo ketemu 101 file yang dicurigai symlink berarti harus intip ke 101 file nya donk :p

Nah klo lokasi file yang dicurigai itu berada di admin area script client gimana ngecek nya? Terobos admin area client atau ijin ke client ( Permisi Bos, minta user ama pass admin area script nya donk. Kita - kita mau rajia symlink / shell nih )

Perlu diketahui, yang dibutuhkan TS itu adalah membasmi backdor bukan symlink or shell jadi para sepuh may be bisa lebih cermat lagi dalam membantu ngarahin TS, sebab saya sendiri nubi.
 

idcolo

Apprentice 1.0
Klo ketemu 101 file yang dicurigai symlink berarti harus intip ke 101 file nya donk :p.

maaf, mohon di periksa dulu isi file tersebut, karena isinya bukan hanya symlink saja. vuln/ bugs juga ikut ter-scan koq

silahkan di kembangkan script di atas sesuai keinginan :)

Nah klo lokasi file yang dicurigai itu berada di admin area script client gimana ngecek nya? Terobos admin area client atau ijin ke client ( Permisi Bos, minta user ama pass admin area script nya donk. Kita - kita mau rajia symlink / shell nih )

silahkan info ke customer, jika tidak ada tanggapan. selanjutnya kembali mengarah ke TOS. just simple :)

Perlu diketahui, yang dibutuhkan TS itu adalah membasmi backdor bukan symlink or shell jadi para sepuh may be bisa lebih cermat lagi dalam membantu ngarahin TS, sebab saya sendiri nubi.

wah, nubie bisa ngomong seperti ini :13: merendah nih..

monggo di arahin kami2 ini dengan tekniknya si om bintang

backdor yg om maksud seperti apa nih? hehe
 

bintang

Apprentice 2.0
maaf, mohon di periksa dulu isi file tersebut, karena isinya bukan hanya symlink saja. vuln/ bugs juga ikut ter-scan koq

silahkan di kembangkan script di atas sesuai keinginan :)

generate capcai yang dibuat juga dibaca sebagai file yang di curigai backdor, sebab bash command tersebut kan ngebaca file yang mengandung "fopen, fclose, dll"

silahkan info ke customer, jika tidak ada tanggapan. selanjutnya kembali mengarah ke TOS. just simple
Alangkah indah nya jika kita mampu customer yang menjadi korban symlink dan terkena backdor. Terkecuali beraroma unsur kesengajaan.


wah, nubie bisa ngomong seperti ini :13: merendah nih..

monggo di arahin kami2 ini dengan tekniknya si om bintang

backdor yg om maksud seperti apa nih? hehe

Nubi Tulen mah saya om, ciyus deh :77::9:

backdor yang ada dalam hayalan saya sih mungkin seperti ini

attacker upload shell / symlink ===> cari file yang berisi informasi penting ( seperti: wp-config.php | setting.php | config.php | configuration.php | dll, ===>baca mantra ===> cabut ( anggap aja log out ya ^_^ )

Lalu ketika dilakukan proses scanning maka terbaca lah shell yang di upload oleh attacker, setelah itu owner web atau owner hosting ( seseorg yang menemukan shell / symlink ) menghapus symlink / shell tersebut. Nah setelah itu melakukan perubahan secara umum ( ubah segala bentuk password, baik itu pass db, pass login, dsb ). Owner web merasa udah save dan owner hosting juga udah merasa lega ( Kita anggap owner web ama owner hosting bekerja saling bahu membahu serta telah melakukan pengecekan SQL, and the result is SQLi Not Found )


Namun yang terjadi adalah, setiap kali perubahan itu dilakukan maka attacker bisa mengetahui nya tanpa harus membuka email.


Nah Kira - Kira begitu lah hayalan yang ada dalam alam bawah sadar saya om mastah, ntah ada atau tidak hal yang seperti itu di alam nyata :9:
 
Status
Not open for further replies.

Top