Backdoor.PHP.C99Shell.w

Backdoor.PHP.C99Shell.w.Chi tiết kỹ thuậtTrojan này cho phép người dùng nguy hiểm từ xa truy cập vào máy tính nhiễm độc. Nó là một đoạn mã kịch bản PHP có dung lượng 229051 byte.Cài đặtBackdoor này có thể được cài đặt trên một máy chủ web bởi một người dùng độc hại từ xa bằng cách upload nó lên thông qua FTP, sử dụng tài khoản ăn trộm được từ quản trị viên. Nó cũng có thể được sử dụng để khai thác một loạt các lỗ hổng website và thông qua đó upload một file ngẫu nhiên lên thư mục...
Nội dung trích xuất từ tài liệu:
Backdoor.PHP.C99Shell.wBackdoor.PHP.C99Shell.wChi tiết kỹ thuậtTrojan này cho phép người dùng nguy hiểm từ xa truy cập vào máy tínhnhiễm độc. Nó là một đoạn mã kịch bản PHP có dung lượng 229051 byte.Cài đặtBackdoor này có thể được cài đặt trên một máy chủ web bởi một người dùngđộc hại từ xa bằng cách upload nó lên thông qua FTP, sử dụng tài khoản ăntrộm được từ quản trị viên. Nó cũng có thể được sử dụng để khai thác mộtloạt các lỗ hổng website và thông qua đó upload một file ngẫu nhiên lên thưmục có chứa các kịch bản site. Khi nó thành công, một trang ẩn sẽ xuất hiệntrên site. Nếu mở trang này ra sẽ cho phép người dùng độc hại khởi chạybackdoor và thi hành các hàm độc hại của nó.Hoạt độngBackdoor này được thiết kế để cung cấp từ xa, không có quyền quản trị củacác máy chủ web. Khi backdoor chạy, người dùng độc hại sẽ thấy một giaodiện backdoor như sau:Backdoor có thể kiểm soát các hành động sau trên máy chủ từ xa:1. Cho phép truy cập toàn quyền lên các file trên ổ cứng2. Tính toán phạm vi của các bản hash cho chuỗi3. Chạy trình duyệt lệnh và kết nối chuẩn input/output chuẩn của nó với mộtcổng TCP cụ thể.4. Kết nối input/output chuẩn của trình duyệt lệnh với dữ liệu từ máy chủIRC (datapipe)5. Xem một danh sách các quá trình được chạy trên máy chủ6. Thực thi ngẫu nhiên một đoạn code PHP7. Download/ upload các file từ máy chủ về và ngược lại8. Tìm kiếm các file trên ổ cứng máy chủ với nội dung cụ thể9. Quản lý cơ sở dữ liệu mysql (xem/tạo/sửa cơ sở dữ liệu/bảng)10. Chạy các dòng lệnh Shell11. Quét các tài khoản máy chủ FTP có mật khẩu yếu (ví dụ như tên tàikhoản và mật khẩu khớp với nó)12. Xóa bản sao của chính nó từ ổ cứng máy chủ bằng lệnh13. Tạo một tài khoản người dùng không cần mật khẩu14. Xem các người dùng hoạt động trên hệ thống15. Xóa các bản ghi hoạt động của chính nó trong phần log máy chủ Apache16. Khai thác loạt các lỗ hổng của nhân Linux và trình dịch lệnh bash.17. Chạy thông qua máy chủ proxy dướihttp://*****faced.org/proxy/index.php?q=Để ẩn đi địa chỉ của người dùng độc hại từ xa.Hướng dẫn gỡ bỏNếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật,hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo cáchướng dẫn sau để xóa bỏ mã độc khỏi máy tính:1. Xóa file chương trình mã độc gốc trên máy (vị trí file tùy thuộc vào cáchnó xâm nhập ban đầu vào máy tính nạn nhân).2. Cập nhật cơ sở dữ liệu virus và thực hiện quét toàn bộ máy tính.