Filesman trójai

CH azonosító

CH-12833

Angol cím

PHP.Filesman

Felfedezés dátuma

2015.11.30.

Súlyosság

Alacsony

Érintett rendszerek

Apple
Linux
Mac OS X
Microsoft
Solaris
Windows

Érintett verziók

Linux, Mac OS X, Solaris, Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Filesman trójai tulajdonképpen nem más, mint egy PHP-állomány, amely ha egyszer felkerül egy PHP-futtatásra alkalmas webszerverre, akkor azon különféle műveletek végrehajtására adhat lehetőséget távolról vezérelt módon. A károkozó tehát egy hátsó kaput nyit, amin keresztül fogadja az elkövetők parancsait. Ezek egyebek mellett az alábbi feladatokra irányulhatnak:

  • rendszerinformációk összegyűjtése
  • fájlműveletek
  • adatbázisokhoz való kapcsolódás
  • SQL-utasítások futtatása
  • FTP-fiókokhoz tartozó hitelesítő adatok megszerzése (brute force)
  • MD5 hash-ek felkutatása
  • adatszivárogtatás

A Filesman különféle webes alkalmazások könyvtáraiba kerül be. A PHP-állományát különböző nevekkel illeti.

Leírás

1. Létrehozza a következő állományt:
[alkalmazáskönyvtár][véletlenszerű fájlnév].php

2. Nyit egy hátsó kaput.

3. Várakozik a támadók parancsaira.

4. Folyamatosan figyelemmel kíséri, hogy az általa létrehozott PHP-állományhoz milyen user agenttel ellátott kapcsolatok jönnek létre, és az alábbi kifejezések észlelésekor nem aktivizálódik:

  • Google
  • Slurp
  • MSNBot
  • ia_archiver
  • Yandex
  • Rambler

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE)