host_m 12 фев 2021 в 12:55

Невидимые символы, скрывающие веб-шелл в зловредном коде на PHP

5 мин

16K

Блог компании VDSina.ruИнформационная безопасность*Веб-разработка*PHP*Антивирусная защита*

Перевод

+42

Комментарии 13

bolk 12 фев 2021 в 13:41

Этой технике уже несколько лет. Например, вот я её реализовывал на нескольких языках: github.com/bolknote/utf-16-trick (2017-й год), а вот похожая: bolknote.ru/all/3556 (2012-й).

Alexufo 12 фев 2021 в 14:56

Прикрылась лавочка)
Теперь консоль выдает:

Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: «default-src 'none'».

bolk 12 фев 2021 в 21:22

Ну это политика конкретного сайта работает.

Maccimo 12 фев 2021 в 15:28

Поиск фрагмента кода этого декодера разделителей привёл к статье 2019 года на Хабре.

Там фиг поймёшь, какого года статья.
Из профиля автора:

Зарегистрирован 24 мая 2013 г.

Активность 02.10.2015, 16:23

У статьи дата публикации 3 июля 2019 в 15:47

Koneru 12 фев 2021 в 18:10

Все просто, статью написал sneakquie с 2013 по 2015, но он написал ее в песочницу. Спустя 4 года ее одобрил ilyaplot. Соответсвенно, статья написана не позже 2015 года, а опубликована в 2019.

Interreto 12 фев 2021 в 15:56

Это понятно, PHP можно даже вставить в загружаемую картинки и он выполнится если как-то сделать ей include или required или вызвать напрямую если есть дыра с расширением файла по типу /my.gif.php. Но то на что не отвечает статья как попал на сервер licens.php.

micronull 13 фев 2021 в 16:21

У исследователей есть ряд липовых сайтов с дырами.

Tatikoma 12 фев 2021 в 17:19

Не совсем понятно зачем использовать пробелы и табы, когда есть U+200C и U+200D.

Если редактор поддерживает юникод (в 2021 году!), то zero-width символы заметить будет сложнее, чем кучу пробелов и переходов строк.

Maccimo 12 фев 2021 в 18:00

По размеру файла будет ещё заметнее, а hex view без труда разрушит всю магию.

oz0ne 12 фев 2021 в 22:25

До сих пор не все пишут код в utf-8 кодировке, а зловред должен быть универсален, возможно это одна из причин.

-2

Compolomus 16 фев 2021 в 11:44

Ну я бы при просмотре фс первым делом бы удивился что лицензия с расширением php. А так как там текст, можно и в txt переименовать

morgot 7 окт 2023 в 20:23

Есть лицензии с php, для защиты от пиратства (в sypex dumper, к примеру, была такая).

mSnus 4 мар 2021 в 10:37

с «пустыми символами» забавно, конечно, но довольно бессмысленно ))

а код в license.php даже мой тупой сканер обнаружил бы и поднял тревогу

Зарегистрируйтесь на Хабре, чтобы оставить комментарий