Ngày nay, PHP là công cụ chính cung cấp năng lượng cho hầu hết các CMS phổ biến như Prestashop, WordPress, Magento, v.v. Ngôn ngữ kịch bản phía máy chủ này phổ biến đến mức nó cung cấp gần 80% các trang web trên internet ngày nay. Tuy nhiên, các trang web sử dụng PHP cũng bị tin tặc nhắm mục tiêu rộng rãi vì một khai thác có thể hoạt động trên tất cả chúng. Thông thường các kỹ thuật thông minh được triển khai để hoạt động ác ý ở hậu trường. Backdoor PHP web shell là một trong những tập lệnh hoặc chương trình độc hại được thiết kế để lây nhiễm bí mật vào trang web của bạn.
Backdoor PHP web shell là gì và tại sao nó lại lây nhiễm cho tôi?
Các cửa sau của trình bao web PHP về cơ bản là các tập lệnh và chương trình độc hại được thiết kế để thực hiện nhiều hành động độc hại trên trang web của bạn. Các trình bao web đơn giản là các tập lệnh dựa trên lệnh. Một trình bao web PHP cho phép những kẻ tấn công quản lý việc quản trị máy chủ PHP của bạn từ xa. Những kẻ tấn công có thể truy cập nó bằng cách sử dụng một URL trên internet. Các trình bao web phức tạp hơn cũng có thể truy cập trực tiếp vào bộ nhớ.
Thông thường, những nhiễm trùng này tái phát ngay cả sau khi đã dọn dẹp sạch sẽ vì chúng được thiết kế để duy trì quyền truy cập liên tục. Hầu hết các backdoor đều sử dụng các kỹ thuật làm xáo trộn khác nhau để tránh bị phát hiện. Một số thậm chí còn triển khai các thuật toán phức tạp để ẩn trực tiếp trong bộ nhớ.
Có nhiều cách mà trình bao web PHP có thể cư trú trên trang web của bạn. Tuy nhiên, một số vấn đề bảo mật phổ biến cho phép lây nhiễm này:
- Mật khẩu yếu hoặc mật khẩu mặc định.
- Tải lên tệp PHP không hạn chế.
- Mã hóa trang web PHP kém, cho phép đầu vào không hợp lệ.
- Phiên bản PHP lỗi thời.
- Cấu hình PHP không phù hợp.
- Quyền truy cập tệp yếu của các tệp nhạy cảm.
- Báo cáo lỗi và tiết lộ mã không đúng cách.
Bài viết liên quan - Giải quyết vấn đề bảo mật trong PHP
Backdoor PHP web shell có thể làm gì?
Một backdoor PHP web shell chung cho phép kẻ tấn công chạy các lệnh trên máy chủ PHP của bạn giống như một quản trị viên. Đôi khi, những kẻ tấn công cũng có thể cố gắng nâng cao đặc quyền. Sử dụng trình bao này, những kẻ tấn công có thể:
- Truy cập bất kỳ loại dữ liệu nào trên máy chủ của bạn.
- Có thể sử dụng máy chủ của bạn để khai thác tiền điện tử.
- Có thể biến máy chủ của bạn thành một bot tuân theo hướng dẫn từ kẻ tấn công để phân tán một lượng lớn spam.
- Và có thể nhiều điều xấu xa hơn!
Bài viết liên quan - Hướng dẫn loại bỏ phần mềm độc hại và thực hành bảo mật PHP cơ bản
PHP Web Shell Backdoor:Phân tích mã
Một backdoor PHP web shell chung hoạt động theo các bước sau:
Bước đầu tiên là khởi tạo các biến hệ thống. Trong khi làm như vậy, web shell đảm bảo rằng không có lỗi nào được in ra để tránh bị phát hiện. Điều này được thực hiện bằng cách tạo x_die hàm số. Bất cứ khi nào có lỗi, các thông báo liên quan đến vấn đề sẽ được chuyển qua chức năng này. Sau đó, hàm này sử dụng hàm die () của PHP để thoát khỏi tập lệnh hiện tại.
Bước tiếp theo là kiểm tra xem web shell có thể thực thi các lệnh trên máy chủ PHP hay không. Đối với điều này, web shell PHP chung sẽ kiểm tra các chức năng thực thi khác nhau của PHP như exec(), system() , v.v.
Sau đó, web shell PHP xác minh các cấu hình hệ thống và kiểm tra xem chúng có thể được thay đổi bởi web shell hay không. Trong trường hợp không có các chức năng cấu hình, nó chỉ cần chuyển ‘ can not config ‘Thông báo tới x_di e () chức năng.
Sau đó, nó cũng kiểm tra chế độ an toàn trên máy chủ PHP. Chế độ an toàn của PHP thường được triển khai trên các máy chủ dùng chung. Đây là một tính năng xác minh rằng quá trình đã mở một tệp cụ thể được chạy bởi một người dùng đã được xác minh. Trong trường hợp chế độ an toàn được bật, trình bao web sẽ ngừng thực thi thêm.
if (x_ini_get (‘safe_mode’)) {x_die (‘không thể thực thi:chế độ an toàn đang hoạt động’);}
Khi tất cả các điều kiện này được thỏa mãn, web shell sử dụng dịch vụ Superfetch của hệ thống windows để chạy các lệnh.
PHP Web Shell Backdoor:Phát hiện và Dọn dẹp
- Kiểm tra xem bạn có bị nhiễm backdoor PHP web shell chung hay không bằng cách xem mã nguồn của tất cả các tệp PHP của bạn.
- Nếu khó tìm kiếm theo cách thủ công thì hãy sử dụng
Greplệnh . - Sử dụng các lệnh grep để tìm kiếm kết xuất của mã web shell bên trong các thư mục của bạn bằng mã này:
grep -r "dump of web shell" /folderToSearch/ - Sử dụng phương pháp này, lớp vỏ web chung có thể được phát hiện. Tuy nhiên, phương pháp này có những hạn chế riêng vì nó chỉ có thể tìm kiếm một loại web shell chung.
- Để tìm kiếm các web shell khác, bạn cần biết mã nguồn. Để khắc phục sự cố này, bạn có thể sử dụng các công cụ phát hiện trình bao web miễn phí trên GitHub.
- Đừng quên kiểm tra nhật ký để tìm bất kỳ yêu cầu HTTP đáng ngờ nào để phát hiện vỏ web PHP. Xóa web shell khi bạn đã tìm thấy nó.
- Trong trường hợp kết xuất web shell PHP được tìm thấy trong bất kỳ tệp nhạy cảm nào, hãy bình luận và liên hệ với các chuyên gia để được phân tích và loại bỏ phần mềm độc hại khác.
PHP Web Shell Backdoor:Giảm thiểu
- Luôn cập nhật phiên bản PHP của bạn.
- Tránh sử dụng mật khẩu mặc định hoặc mật khẩu yếu.
- Luôn kiểm tra xem có bất kỳ cấu hình sai trang web nào không.
- Đảm bảo quyền đối với tệp không bao giờ được đặt thành 777 vì quyền này có thể cho phép bất kỳ ai chỉnh sửa tệp của bạn!
- Đảm bảo tuân thủ các phương pháp mã hóa an toàn trong khi phát triển tệp PHP của bạn.
- Tiến hành kiểm tra khả năng thâm nhập toàn diện để phát hiện ra các lỗ hổng trong trang web PHP của bạn.
Kết luận
Xóa web shell không chỉ đơn thuần là đủ để bảo mật trang web của bạn. Những kẻ tấn công vẫn có thể tải lên một trình bao mới bằng cách sử dụng lỗ hổng trên trang web của bạn. Đối với một người dùng bình thường, việc phát hiện lỗ hổng này có thể không dễ dàng. Vì vậy, bạn nên sử dụng giải pháp bảo mật để tự động hóa quá trình này.
Trình quét phần mềm độc hại tự động của Astra Security phát hiện một số lượng lớn phần mềm độc hại và web shell PHP chỉ bằng một cú nhấp chuột. Hơn nữa, tường lửa Astra Security giám sát trang web của bạn và chặn các mối đe dọa bảo mật sắp tới. Chọn một gói theo nhu cầu của bạn và bắt đầu ngay hôm nay!