Сервис для
сео - оптимизаторов

Найди ошибки на сайте
Ошибки мешают продвижению сайта
Исправь ошибки на сайте
Сайт без ошибок продвигать легче
Получи новых клиентов
Новые клиенты принесут больше прибыль

WSO Shell: взлом происходит изнутри дома!

  1. Что такое веб-оболочка?
  2. Что особенного в WSO?
  3. история
  4. Как Wordfence блокирует WSO
  5. Как узнать, скрывается ли WSO Shell на вашем сайте?
  6. Заключение

Представьте, что однажды вы обнаружите, что грабитель ворвался в ваш дом и попытался убежать с помощью телевизора с большим экраном. Опасаясь за свою безопасность, вы немедленно связываетесь с местными правоохранительными органами, и они незамедлительно задерживают преступника. Но, к вашему ужасу, когда они утащили грабителя в наручниках, у них появилось еще одно шокирующее откровение: грабитель не только жил в подвале вашего дома в течение нескольких месяцев, совершенно незаметно для вас, но он также превратил ваш подвал в разработать базу для всех его преступных операций.

Вы, конечно, оба шокированы и потрясены! Как ты мог не заметить, что гнусный преступник захватил всю твою резиденцию прямо у тебя под носом? И какой ущерб они уже нанесли, незаметно для вас, все тайно живя под вашей собственной крышей?

Это очень похоже на то, как злоумышленник скомпрометирует ваш сайт и тихо установит вредоносную веб-оболочку, захватив и выполнив все виды вредоносных сценариев и поведения: ваш сайт был взломан, хакеры почувствовали себя как дома на вашем сервере, Ваша пропускная способность и пространство для хранения были украдены, и вы не мудрее.

Команда Wordfence видела тысячи вредоносных скриптов от хакеров, пытающихся взломать миллионы сайтов, которые мы защищаем. Но есть один особенно инвазивный скрипт, который, попав на ваш сайт, действует точно так же, как и грабитель в приведенном выше сценарии, живя в «подвале» вашего сайта и позволяя злоумышленнику почти навсегда обнаружить хаос: веб-оболочка WSO ,

Что такое веб-оболочка?

Веб-оболочка - это скрипт, который запускается на веб-сервере, так же, как WordPress или любой другой код PHP. Это позволяет пользователю делать вещи, как если бы они были зарегистрированы на сервере напрямую. Это похоже на инструмент администрирования сервера: он позволяет пользователю просматривать или редактировать файлы, работать с базами данных и даже запускать программы. Веб-оболочки, созданные хакерами, обычно имеют дополнительные вредоносные функции, такие как рассылка спама или автоматическая порча сайта.

Веб-оболочки по своей природе не являются типом атаки или эксплойта. Скорее, это инструмент, используемый для управления сайтом после того, как он уже был взломан. Мы много говорим о различных видах эксплойтов и о том, почему они подвергают ваш сайт риску, но правда в том, что уязвимости и эксплойты в области безопасности являются лишь первым шагом в любом успешном взломе. Цель состоит в том, чтобы взломать ваш сайт, а затем использовать сценарий, чтобы захватить ваш сайт и нанести на сервер всевозможные разрушения.

В двух словах, именно это и делает веб-оболочка WSO. Он захватывает ваш сайт для собственных целей хакера, и вы даже не понимаете, что он там есть.

Что особенного в WSO?

WSO - любимая веб-оболочка среди хакеров из-за ее особенно мощного набора функций.

  • Защита паролем
  • Раскрытие информации о сервере
  • Функции управления файлами, такие как загрузка, загрузка или редактирование файлов, создание каталогов, просмотр каталогов и поиск текста в файлах
  • Консоль командной строки
  • Администрирование базы данных
  • Выполнение PHP-кода
  • Кодирование и декодирование ввода текста
  • Атаки с применением грубой силы против серверов FTP или баз данных
  • Установка Perl-скрипта, который будет действовать как более прямой бэкдор на сервере

Как только они установлены на веб-сайте, их веб-оболочки, как известно, трудно удалить, в значительной степени потому, что хакеры часто размещают несколько копий веб-оболочки по всему сайту, пытаясь сохранить доступ, даже если некоторые их вредоносные программы удалены.

WSO предназначен для использования через веб-браузер, и у него довольно простой удобный интерфейс, благодаря чему любой потенциальный хакер может легко освоить и использовать его.

WSO предназначен для использования через веб-браузер, и у него довольно простой удобный интерфейс, благодаря чему любой потенциальный хакер может легко освоить и использовать его

Кажется, он устанавливает хороший баланс между простотой и возможностями, так как это одна из самых популярных веб-оболочек. Фактически, несмотря на простой интерфейс браузера, мы видим, что многие хакеры используют его просто для выполнения вредоносного кода PHP на веб-сайтах. Теоретически, это то, что хакер мог бы выполнить легче с очень небольшим количеством кода:

<? php eval ($ _ POST ['c']); ?>

Но хакеры, кажется, любят и доверяют WSO так сильно, что они все равно хотят этого на своих скомпрометированных сайтах.

В хакерском сообществе вокруг оболочки WSO возникла целая экосистема, и хакеры разработали вторичные инструменты, поддерживающие ее выполнение и использование. Например, есть инструмент для создания индивидуальной версии оболочки с использованием только тех функций, которые вам нужны.

Мы также видели инструмент для управления несколькими зараженными им сайтами, благодаря которому даже хакерам начального уровня намного легче захватывать большое количество сайтов относительно легко.

история

Для такого вездесущего инструмента происхождение WSO остается нерешенной загадкой.

WSO, по-видимому, расшифровывается как «web shell by oRb». Впервые он был замечен в хакерских сообществах между 2008 и 2009 годами. Самое раннее упоминание, которое мы могли найти, было нить в русском хакерском форуме в январе 2009 года пользователем по имени oRb, которому впоследствии был назван сценарий.

Этот поток использовался, чтобы объявить о серьезном обновлении сценария, так что, вероятно, это был не первый выпуск WSO. Но Поиски в Google «WSO Shell» начали набирать вскоре после ,

oRb продолжал публиковать обновления и новые версии скрипта до конца 2010 года, когда они выпустили версию 2.5. Это остается самой популярной версией, хотя некоторые хакеры с тех пор выпустили варианты (и не всегда из-за альтруизма по отношению к другим хакерам - некоторые выпуски включают скрытый код, чтобы уведомить автора, где они установлены, тем самым вызывая многочисленные уровни проникновения и повреждения) ,

Оболочка WSO широко используется бесчисленными хакерами по всему миру, и сообщество пользователей, предпочитающих ее в качестве веб-оболочки, растет с каждым днем.

Например, в январе этого года мы опубликовали исследование о ChickenKiev или «CK» ботнет, который использует WSO как часть своей работы ,

Каждая новая итерация предназначена для того, чтобы хакерам было легче и проще захватывать сайты и делать все, что они захотят после этого. Лень хакеров в этом отношении невозможно переоценить. Например, одна из первых строк в оболочке WSO устанавливает пароль, необходимый для его использования:

$ auth_pass = "63a9f0ea7bb98050796b649e85481845";

В частности, это устанавливает пароль к слову «корень». Наш WAF заблокировал сотни попыток загрузки WSO на защищаемые нами сайты - все пытаются выполнить с помощью этого простого пароля по умолчанию.

Как Wordfence блокирует WSO

В течение некоторого времени мы отслеживали и блокировали попытки взлома оболочки WSO, и в качестве прямого результата мы разработали несколько мощных способов обеспечить защиту каждого защищаемого веб-сайта от этого агрессивного вторжения.

Wordfence защищает ваш сайт от использования с помощью оболочки WSO следующими способами:

  • Wordfence обнаружит и заблокирует любую попытку загрузить оболочку WSO. Wordfence WAF сканирует все запросы на ваш сайт в поисках вредоносного кода с помощью специально разработанных сигнатур вредоносных программ, которые постоянно обновляются. WAF, после установки на вашем сайте, обнаружит любую попытку загрузить оболочку WSO и немедленно заблокирует ее.
  • Сканер вредоносных программ Wordfence обнаружит присутствие WSO-оболочки в вашей файловой системе, если злоумышленнику удастся найти какой-либо другой способ его установки. Вы будете немедленно уведомлены, если где-то на вашем сервере будет обнаружена оболочка WSO.
  • Wordfence также блокирует попытки запуска команд оболочки WSO, так что даже если хакеру удастся преодолеть первые две защиты, это спорный вопрос: команды оболочки WSO просто не будут работать на вашем сайте.

Как узнать, скрывается ли WSO Shell на вашем сайте?

У нас есть два невероятно простых способа, которые вы можете использовать, чтобы определить, находится ли оболочка WSO в тайне на вашем сайте:

  1. Если у вас установлен Wordfence, просто запустите сканирование. Если результаты вернутся чистыми, у вас почти наверняка нет WSO оболочки на вашем сайте.
  2. Если у вас не установлен Wordfence или вы используете другую систему управления контентом, например, Joomla или Drupal, просто используйте Gravityscan сканировать ваш сайт. ( Важно: убедитесь, что у вас установлен Gravityscan Accelerator.) Gravityscan проверит всю файловую систему вашего веб-сайта, и результаты вашего сканирования должны сообщить вам, если у вас где-нибудь установлена ​​оболочка WSO.

Заключение

Из-за низкого барьера входа WSO shell является одним из самых популярных и наиболее вредоносных инструментов, используемых хакерами для заражения веб-сайтов. Установка WSO на вашем веб-сайте может быть опасной для вас и вашего бизнеса.

Конечно, лучшая защита - это хорошее нападение, и с помощью Wordfence или Gravityscan вы не можете просто заблокировать и легко обнаружить его присутствие и защитить свой сайт от любых потенциальных злоумышленников - вы также можете быть уверены, что они никогда не проникнут в ваш «Дом» в сети в первую очередь.

Похожие

Как настроить Wi-Fi на ноутбуке?
Как настроить Wi-Fi на ноутбуке? Любой современный ноутбук имеет встроенный модуль для работы с беспроводными сетями. Это означает, что можно подключить его к интернету через Wi-Fi соединение и иметь доступ к глобальной сети в любой точке квартиры, дома или даже дачи, не беспокоясь о прокладке ненужных проводов к рабочему месту. Все что для этого нужно, кроме самого ноутбука,
Как прикрепить домен к аккаунту
... узнать, как его восстановить. Чтобы добавить домен, который уже был зарегистрирован в другой регистратора доменных имен, войдите в панели управления , Перейдите в раздел «Домены» и кликните «+ Добавить» в правом верхнем углу. В окне впишите выбран домен, выберите аккаунт, к которому вы хотите его прикрепить. На вопрос о том, есть ли вы владельцем домена, ответьте "Да", и дальше вы можете выбрать: перенести домен к нам или просто
Что для вас значит конец Internet Explorer?
Начиная с 12 января 2016 года Microsoft будет сбросив поддержку для всех версий Internet Explorer кроме последней версии для его все еще поддерживаемых операционных систем. На практике для потребительских операционных систем Microsoft это означает:
Что такое плохие сектора и как их исправить? [Часть 2]
... что ваш диск будет кусать пыль? Можно ли отремонтировать эти сектора? Прочитайте больше рассмотрел аппаратное обеспечение привода и то, как контроллер работает за кулисами для обнаружения и устранения проблем с неисправными секторами, которые он обнаруживает при нормальной работе. В этом заключении к этому обсуждению мы рассмотрим инструменты, доступные в операционной системе,
Забыл пароль от роутера wi-fi. как узнать изменить пароль от роутера?
Как отключить автоматическое обновление приложений в Windows 10
Реклама Читатель спрашивает: Я только что обновил Windows 7 до Windows 10 и заметил в Магазине Windows настройки, которые я не могу отключить «Обновлять приложения автоматически» в разделе «Обновления приложений». Ниже приведено сообщение: обратитесь к системному администратору для изменения этого параметра. Мой пользователь настроен на администратора, поэтому я не уверен, как это исправить. Я не могу получить доступ к редактору групповой политики, так как он недоступен в
Ocean: веб-сервер Linux, который умещается в вашем кармане
Хотите портативный веб-сервер на базе Linux, который поместится в вашем кармане? Смотрите не дальше, чем Океан , Ocean был разработан с нуля для мобильности и имеет встроенный аккумулятор, который позволяет запускать веб-приложения и приложения Bluetooth в местах, где прямое питание ограничено. Устройство размером примерно с iPhone 6 и
Как использовать Glances для мониторинга удаленного Linux в режиме веб-сервера
Взгляды это бесплатный открытый, современный, кроссплатформенный, в режиме реального времени Топ а также HTOP как инструмент мониторинга системы. Он предлагает расширенные функции по сравнению со своими аналогами
Что такое тепловая карта, как она работает и как их использовать
... чтобы лучше понимать поведение пользователей. Оглавление Любой сайт, желающий монетизировать свой трафик, знает, что суть проблемы привлекает внимание посетителей. И, тем не менее, существует длинный, длинный список сайтов, которые предпочитают «случайным образом» экспериментировать со своими оптимизациями . Их домашней странице два года? Несколько случайных модификаций позже, вдохновленные статьей, которую кто-то читал об их поездке
Может ли MATE быть спасителем интерфейса Linux GNOME 2?
... как этот парень - были менее чем довольны изменениями интерфейса, вызванными появлением Единство а также GNOME 3 , К счастью для этих людей, есть надежда в виде ПРИЯТЕЛЬ - вилка GNOME 2, которая
Как установить (или переместить) приложения на другой диск в Windows 10
Windows 10 позволяет устанавливать приложения из Магазина на любой понравившийся диск. Вы также можете переместить ранее установленные приложения в новое место, не удаляя и не переустанавливая их. Вы можете хранить приложения на внутреннем или внешнем диске. Вторичный

Комментарии

Как мы праздновали, какие были самые красивые идеи украшения, что такое бесплатная свадьба и с кем вы на самом деле работаете рука об руку?
Как мы праздновали, какие были самые красивые идеи украшения, что такое бесплатная свадьба и с кем вы на самом деле работаете рука об руку? Я рад этому!
Можно ли отремонтировать эти сектора?
Можно ли отремонтировать эти сектора? Прочитайте больше рассмотрел аппаратное обеспечение привода и то, как контроллер работает за кулисами для обнаружения и устранения проблем с неисправными секторами, которые он обнаруживает при нормальной работе. В этом заключении к этому обсуждению мы рассмотрим инструменты, доступные в операционной системе, производителях накопителей и других
Что я хочу вам сказать, почему и как?
Что я хочу вам сказать, почему и как? Теперь ты знаешь, что я хочу научить тебя? Я хочу поделиться с вами более чем 10-летним опытом и изучить эффективные стратегии для привлечения клиентов. Стратегии, подтвержденные моим опытом, представлены простым и доступным способом. Как специалист, я могу дать вам не теорию, а проверенные решения, которые вы можете использовать и адаптировать в своем бизнесе в качестве фрилансера, компании, блоггера или человека, предлагающего услуги отдельным
Что такое векторное изображение?
Что такое векторное изображение? Photoshop в первую очередь предназначен для растровых изображений. Это полигональные изображения, нарисованные попиксельно. Они поддерживают огромное количество деталей, поэтому используются для фотографий. Размеры файлов могут быть большими, но вы не сможете увеличить их без потери качества. Векторные изображения - это линии и кривые, генерируемые математическими формулами. Это означает, что вы можете изменять их размер бесконечно, а
Должен ли я использовать встроенный веб-сервер Termux lighttpd, Apache, NGINX или PHP?
Должен ли я использовать встроенный веб-сервер Termux lighttpd, Apache, nginx или PHP? Использование класса API PHP Termux Termux: проблемы с API Заключение Что такое Android Termux?
Что происходит, когда текстовый или аудио браузер читает этот элемент?
Что происходит, когда текстовый или аудио браузер читает этот элемент? Это бессмысленно в этом контексте, и поэтому любой акцент, который вы, возможно, намеревались показать, используя элемент в первую очередь, теряется для этого читателя. Если вы используете <strong>, каждый браузер может выбрать свою собственную обработку и соответственно представить свой результат - выделив текст жирным шрифтом или произнеся слова громче и т. Д. Дизайнеры использовали большие
Что такое нетбурн?
Что такое нетбурн? Netburn является частью набор инструментов с открытым исходным кодом написанный на Perl, используется для тестирования производительности сети с использованием HTTP для генерации сетевого трафика. Используя разные размеры файлов и одновременную загрузку, netburn может более реалистично имитировать реальный
Как подключить WiFi дома?
Как подключить WiFi дома? Проверьте, чтобы выключатель беспроводной сети на ноутбуке был включен. Обычно он расположен на лицевой панели ноутбука и предназначен для экономии заряда аккумулятора во время автономной работы без использования беспроводных сетей. В правом нижнем углу ноутбука, так называемом системном трее, должно появиться сообщение о том, что вы находитесь в зоне действия одной или нескольких беспроводных сетей. Кликаете по нему, выбираете вашу созданную
Чувствуете ли вы эту творческую колею в последнее время и ищете идеи для постов в блоге?
Чувствуете ли вы эту творческую колею в последнее время и ищете идеи для постов в блоге? Ну, мой друг, вы пришли в нужное место! Вот 100 идей для блога о жизни в те дни, когда у вас абсолютно НЕТ БЕЗУМНОГО КЛИПА, о чем писать в блоге! PS - обязательно ознакомьтесь с моим курсом блогов, Side Hobby To Side Hustle как только вы закончите! Это рамочное шаг за шагом, как превратить вас хобби блог в реальный бизнес, и я хотел
Соответствующий вопрос заключается в том, представляет ли это повышение производительности лучшую сделку?
Соответствующий вопрос заключается в том, представляет ли это повышение производительности лучшую сделку? Ваши результаты немного зависят от того, какие стартовые числа вы выберете, поскольку у этих карт есть диапазон ценовых пунктов. В настоящее время лучшим вариантом для сравнения GTX 1080 - RTX 2080 является то, что RTX 2080 в 1,55 раза дороже и обеспечивает производительность примерно в 1,5 раза выше. Если вам нужно купить FE или эквивалентную OEM-карту, чтобы увидеть эти показатели
Когда я должен использовать Heatmap на моем сайте?
Когда я должен использовать Heatmap на моем сайте? Программы Heatmap чрезвычайно полезны. Они измеряют внимание, вовлеченность и даже количество кликов на вашем сайте. Они являются ключевым компонентом вашего инструментария оптимизации (чтобы узнать больше, прочитайте наш полное руководство по оптимизации коэффициента конверсии ). Чтобы дать вам несколько конкретных примеров, вот несколько

Что такое веб-оболочка?
Что особенного в WSO?
Как ты мог не заметить, что гнусный преступник захватил всю твою резиденцию прямо у тебя под носом?
И какой ущерб они уже нанесли, незаметно для вас, все тайно живя под вашей собственной крышей?
Что особенного в WSO?
Php eval ($ _ POST ['c']); ?
Как узнать, скрывается ли WSO Shell на вашем сайте?
Как настроить Wi-Fi на ноутбуке?
О ваш диск будет кусать пыль?
Можно ли отремонтировать эти сектора?