Összefoglaló
A Filesman trójai tulajdonképpen nem más, mint egy PHP-állomány, amely ha egyszer felkerül egy PHP-futtatásra alkalmas webszerverre, akkor azon különféle műveletek végrehajtására adhat lehetőséget távolról vezérelt módon. A károkozó tehát egy hátsó kaput nyit, amin keresztül fogadja az elkövetők parancsait. Ezek egyebek mellett az alábbi feladatokra irányulhatnak:
- rendszerinformációk összegyűjtése
- fájlműveletek
- adatbázisokhoz való kapcsolódás
- SQL-utasítások futtatása
- FTP-fiókokhoz tartozó hitelesítő adatok megszerzése (brute force)
- MD5 hash-ek felkutatása
- adatszivárogtatás
A Filesman különféle webes alkalmazások könyvtáraiba kerül be. A PHP-állományát különböző nevekkel illeti.
Leírás
1. Létrehozza a következő állományt:
[alkalmazáskönyvtár][véletlenszerű fájlnév].php
2. Nyit egy hátsó kaput.
3. Várakozik a támadók parancsaira.
4. Folyamatosan figyelemmel kíséri, hogy az általa létrehozott PHP-állományhoz milyen user agenttel ellátott kapcsolatok jönnek létre, és az alábbi kifejezések észlelésekor nem aktivizálódik:
- Slurp
- MSNBot
- ia_archiver
- Yandex
- Rambler
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)
Támadás típusa
Information disclosure (Információ/adat szivárgás)System access (Rendszer hozzáférés)
Trójai
backdoor
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu