Сервис для
сео - оптимизаторов

Найди ошибки на сайте
Ошибки мешают продвижению сайта
Исправь ошибки на сайте
Сайт без ошибок продвигать легче
Получи новых клиентов
Новые клиенты принесут больше прибыль

WSO Shell: взлом происходит изнутри дома!

  1. Что такое веб-оболочка?
  2. Что особенного в WSO?
  3. история
  4. Как Wordfence блокирует WSO
  5. Как узнать, скрывается ли WSO Shell на вашем сайте?
  6. Заключение

Представьте, что однажды вы обнаружите, что грабитель ворвался в ваш дом и попытался убежать с помощью телевизора с большим экраном. Опасаясь за свою безопасность, вы немедленно связываетесь с местными правоохранительными органами, и они незамедлительно задерживают преступника. Но, к вашему ужасу, когда они утащили грабителя в наручниках, у них появилось еще одно шокирующее откровение: грабитель не только жил в подвале вашего дома в течение нескольких месяцев, совершенно незаметно для вас, но он также превратил ваш подвал в разработать базу для всех его преступных операций.

Вы, конечно, оба шокированы и потрясены! Как ты мог не заметить, что гнусный преступник захватил всю твою резиденцию прямо у тебя под носом? И какой ущерб они уже нанесли, незаметно для вас, все тайно живя под вашей собственной крышей?

Это очень похоже на то, как злоумышленник скомпрометирует ваш сайт и тихо установит вредоносную веб-оболочку, захватив и выполнив все виды вредоносных сценариев и поведения: ваш сайт был взломан, хакеры почувствовали себя как дома на вашем сервере, Ваша пропускная способность и пространство для хранения были украдены, и вы не мудрее.

Команда Wordfence видела тысячи вредоносных скриптов от хакеров, пытающихся взломать миллионы сайтов, которые мы защищаем. Но есть один особенно инвазивный скрипт, который, попав на ваш сайт, действует точно так же, как и грабитель в приведенном выше сценарии, живя в «подвале» вашего сайта и позволяя злоумышленнику почти навсегда обнаружить хаос: веб-оболочка WSO ,

Что такое веб-оболочка?

Веб-оболочка - это скрипт, который запускается на веб-сервере, так же, как WordPress или любой другой код PHP. Это позволяет пользователю делать вещи, как если бы они были зарегистрированы на сервере напрямую. Это похоже на инструмент администрирования сервера: он позволяет пользователю просматривать или редактировать файлы, работать с базами данных и даже запускать программы. Веб-оболочки, созданные хакерами, обычно имеют дополнительные вредоносные функции, такие как рассылка спама или автоматическая порча сайта.

Веб-оболочки по своей природе не являются типом атаки или эксплойта. Скорее, это инструмент, используемый для управления сайтом после того, как он уже был взломан. Мы много говорим о различных видах эксплойтов и о том, почему они подвергают ваш сайт риску, но правда в том, что уязвимости и эксплойты в области безопасности являются лишь первым шагом в любом успешном взломе. Цель состоит в том, чтобы взломать ваш сайт, а затем использовать сценарий, чтобы захватить ваш сайт и нанести на сервер всевозможные разрушения.

В двух словах, именно это и делает веб-оболочка WSO. Он захватывает ваш сайт для собственных целей хакера, и вы даже не понимаете, что он там есть.

Что особенного в WSO?

WSO - любимая веб-оболочка среди хакеров из-за ее особенно мощного набора функций.

  • Защита паролем
  • Раскрытие информации о сервере
  • Функции управления файлами, такие как загрузка, загрузка или редактирование файлов, создание каталогов, просмотр каталогов и поиск текста в файлах
  • Консоль командной строки
  • Администрирование базы данных
  • Выполнение PHP-кода
  • Кодирование и декодирование ввода текста
  • Атаки с применением грубой силы против серверов FTP или баз данных
  • Установка Perl-скрипта, который будет действовать как более прямой бэкдор на сервере

Как только они установлены на веб-сайте, их веб-оболочки, как известно, трудно удалить, в значительной степени потому, что хакеры часто размещают несколько копий веб-оболочки по всему сайту, пытаясь сохранить доступ, даже если некоторые их вредоносные программы удалены.

WSO предназначен для использования через веб-браузер, и у него довольно простой удобный интерфейс, благодаря чему любой потенциальный хакер может легко освоить и использовать его.

WSO предназначен для использования через веб-браузер, и у него довольно простой удобный интерфейс, благодаря чему любой потенциальный хакер может легко освоить и использовать его

Кажется, он устанавливает хороший баланс между простотой и возможностями, так как это одна из самых популярных веб-оболочек. Фактически, несмотря на простой интерфейс браузера, мы видим, что многие хакеры используют его просто для выполнения вредоносного кода PHP на веб-сайтах. Теоретически, это то, что хакер мог бы выполнить легче с очень небольшим количеством кода:

<? php eval ($ _ POST ['c']); ?>

Но хакеры, кажется, любят и доверяют WSO так сильно, что они все равно хотят этого на своих скомпрометированных сайтах.

В хакерском сообществе вокруг оболочки WSO возникла целая экосистема, и хакеры разработали вторичные инструменты, поддерживающие ее выполнение и использование. Например, есть инструмент для создания индивидуальной версии оболочки с использованием только тех функций, которые вам нужны.

Мы также видели инструмент для управления несколькими зараженными им сайтами, благодаря которому даже хакерам начального уровня намного легче захватывать большое количество сайтов относительно легко.

история

Для такого вездесущего инструмента происхождение WSO остается нерешенной загадкой.

WSO, по-видимому, расшифровывается как «web shell by oRb». Впервые он был замечен в хакерских сообществах между 2008 и 2009 годами. Самое раннее упоминание, которое мы могли найти, было нить в русском хакерском форуме в январе 2009 года пользователем по имени oRb, которому впоследствии был назван сценарий.

Этот поток использовался, чтобы объявить о серьезном обновлении сценария, так что, вероятно, это был не первый выпуск WSO. Но Поиски в Google «WSO Shell» начали набирать вскоре после ,

oRb продолжал публиковать обновления и новые версии скрипта до конца 2010 года, когда они выпустили версию 2.5. Это остается самой популярной версией, хотя некоторые хакеры с тех пор выпустили варианты (и не всегда из-за альтруизма по отношению к другим хакерам - некоторые выпуски включают скрытый код, чтобы уведомить автора, где они установлены, тем самым вызывая многочисленные уровни проникновения и повреждения) ,

Оболочка WSO широко используется бесчисленными хакерами по всему миру, и сообщество пользователей, предпочитающих ее в качестве веб-оболочки, растет с каждым днем.

Например, в январе этого года мы опубликовали исследование о ChickenKiev или «CK» ботнет, который использует WSO как часть своей работы ,

Каждая новая итерация предназначена для того, чтобы хакерам было легче и проще захватывать сайты и делать все, что они захотят после этого. Лень хакеров в этом отношении невозможно переоценить. Например, одна из первых строк в оболочке WSO устанавливает пароль, необходимый для его использования:

$ auth_pass = "63a9f0ea7bb98050796b649e85481845";

В частности, это устанавливает пароль к слову «корень». Наш WAF заблокировал сотни попыток загрузки WSO на защищаемые нами сайты - все пытаются выполнить с помощью этого простого пароля по умолчанию.

Как Wordfence блокирует WSO

В течение некоторого времени мы отслеживали и блокировали попытки взлома оболочки WSO, и в качестве прямого результата мы разработали несколько мощных способов обеспечить защиту каждого защищаемого веб-сайта от этого агрессивного вторжения.

Wordfence защищает ваш сайт от использования с помощью оболочки WSO следующими способами:

  • Wordfence обнаружит и заблокирует любую попытку загрузить оболочку WSO. Wordfence WAF сканирует все запросы на ваш сайт в поисках вредоносного кода с помощью специально разработанных сигнатур вредоносных программ, которые постоянно обновляются. WAF, после установки на вашем сайте, обнаружит любую попытку загрузить оболочку WSO и немедленно заблокирует ее.
  • Сканер вредоносных программ Wordfence обнаружит присутствие WSO-оболочки в вашей файловой системе, если злоумышленнику удастся найти какой-либо другой способ его установки. Вы будете немедленно уведомлены, если где-то на вашем сервере будет обнаружена оболочка WSO.
  • Wordfence также блокирует попытки запуска команд оболочки WSO, так что даже если хакеру удастся преодолеть первые две защиты, это спорный вопрос: команды оболочки WSO просто не будут работать на вашем сайте.

Как узнать, скрывается ли WSO Shell на вашем сайте?

У нас есть два невероятно простых способа, которые вы можете использовать, чтобы определить, находится ли оболочка WSO в тайне на вашем сайте:

  1. Если у вас установлен Wordfence, просто запустите сканирование. Если результаты вернутся чистыми, у вас почти наверняка нет WSO оболочки на вашем сайте.
  2. Если у вас не установлен Wordfence или вы используете другую систему управления контентом, например, Joomla или Drupal, просто используйте Gravityscan сканировать ваш сайт. ( Важно: убедитесь, что у вас установлен Gravityscan Accelerator.) Gravityscan проверит всю файловую систему вашего веб-сайта, и результаты вашего сканирования должны сообщить вам, если у вас где-нибудь установлена ​​оболочка WSO.

Заключение

Из-за низкого барьера входа WSO shell является одним из самых популярных и наиболее вредоносных инструментов, используемых хакерами для заражения веб-сайтов. Установка WSO на вашем веб-сайте может быть опасной для вас и вашего бизнеса.

Конечно, лучшая защита - это хорошее нападение, и с помощью Wordfence или Gravityscan вы не можете просто заблокировать и легко обнаружить его присутствие и защитить свой сайт от любых потенциальных злоумышленников - вы также можете быть уверены, что они никогда не проникнут в ваш «Дом» в сети в первую очередь.

Что такое веб-оболочка?
Что особенного в WSO?
Как ты мог не заметить, что гнусный преступник захватил всю твою резиденцию прямо у тебя под носом?
И какой ущерб они уже нанесли, незаметно для вас, все тайно живя под вашей собственной крышей?
Что особенного в WSO?
Php eval ($ _ POST ['c']); ?
Как узнать, скрывается ли WSO Shell на вашем сайте?