Основные блоги b.Z » Все блоги » Про интернет » [Перевод] Невидимые символы, скрывающие веб-шелл в зловредном коде на PHP

[Перевод] Невидимые символы, скрывающие веб-шелл в зловредном коде на PHP

Все блоги / Про интернет 12 февраля 2021 337   
Смотреть в Telegram Поделиться в TG


В ноябре мы писали о том, как злоумышленники используют инъекции JavaScript для загрузки зловредного кода из файлов CSS.

Поначалу незаметно, что эти инъекции содержат что-то, кроме безобидных правил CSS. Однако при более тщательном анализе файла .CSS обнаруживается 56 964 кажущиеся пустыми строки, содержащие сочетания из невидимых символов табуляции (0x09), пробелов (0x20) и переводов строки (0x0A), которые преобразуются в двоичное представление символов, а затем в текст исполняемого кода на JavaScript.

Вскоре мы обнаружили такую же схему использования и во вредоносных программах на PHP. В статье мы расскажем о том, что обнаружил аналитик вредоносного ПО Лиам СмитSmith, работая недавно над сайтом, содержащим множество загружаемых хакерами бэкдоров и веб-шеллов.
Читать дальше →

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

Приемы неявного вызова php кода, применяемые во вредоносных скриптах

В процессе лечения сайтов обнаруживается множество разновидностей хакерских шеллов и бэкдоров. Скрипты отличаются функционалом и способом обфускации исходного кода, но у всех есть общая черта — это неявное объявление переменных и функций, а также косвенный вызов функций. Данный подход популярен

подробнее »
9 марта 2014
BSON инъекция в MongoDB адаптере для Ruby

В BSON-ruby был найден баг который в лучшем случае приводил к небольшому DoS, но большинство версий было уязвимо к инъекции в BSON (аналог SQL инъекции, BSON это бинарный аналог JSON используемый для работы с базой). На хабре уже как то упоминалась особенность регулярок в руби — у нас ^$ значат не

подробнее »
4 июня 2015
Сравнение сканеров вредоносного кода на сайте

В настоящий момент существует не так много сканеров для поиска вредоносного кода и вирусов на хостинге, но даже при их малом числе никто не проводил оценок эффективности этих инструментов применительно к задаче поиска вредоносов на сайте. Поэтому возникла идея взять типовой взломанный и зараженный

подробнее »
9 апреля 2014
Как в WordPress передать данные и строки в JavaScript

Если вы включаете библиотеку JavaScript и решили инициировать объект JavaScript в файле header.php при назначении данных свойствам, то эта статья для вас. Она поможет вам понять, как правильно передать данные PHP и статические строки в библиотеку JavaScript. Рубрика: CMS и движки для сайтов

подробнее »
16 апреля 2014
[Перевод] CRLF-инъекции и HTTP Response Splitting

Привет, Хабровчане! В преддверии старта занятий в ближайшей группе профессионального курса «Безопасность веб-приложений», мы подготовили для вас еще один полезный перевод. Что такое CRLF? Когда браузер отправляет запрос веб-серверу, тот отправляет ответ, который содержит заголовки HTTP-ответа и сам

подробнее »
23 июля 2020
Четыре JavaScript-сниффера, которые подстерегают вас в интернет-магазинах

Практически каждый из нас пользуется услугами онлайн-магазинов, а значит, рано или поздно рискует стать жертвой JavaScript-снифферов — специального кода, который злоумышленники внедряют на сайт для кражи данных банковских карт, адресов, логинов и паролей пользователей. От снифферов уже пострадали

подробнее »
14 мая 2019
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии