前回の以下の勉強会で発表してきた「公開されているバックドアを使ってみた」について解説していきます。
なお、昨今の状況を鑑みて、バックドアのURLは伏せさせて位だたきます。(自分で探してみてください。)
もちろん自分の管理する環境以外で実施した場合は犯罪になりますので、あらかじめご認識ください。
どういった機能があるか
詳細のURLはブログではお知らせできませんが、Gitで公開されているものです。
なので、gitコマンドが使用できる環境で以下のコマンドを入力することで、使用することができます。
git clone https://github.com/xxxxx/xxxxx.git #一部伏字にしています。
簡単に準備できますね。この公開されているバックドアなんですが、ちゃんとREADMEまで用意されています。
試しに、記載のコマンドを入力してみると、以下のように各オプションの説明が表示されます。
$ php -f index.php
xxxxx xxxxx xxxxx xxxx
options :
-o filename save as filename
-p password protect with password
-t theme theme to use
-m modules modules to pack separated by comma
-s strip comments and whitespaces
-b encode with base64
-z [no|gzdeflate|gzencode|gzcompress] compression (use only with -b)
-c [0-9] level of compression
-l list available modules
-k list available themes
ファイルの暗号化やパスワードの設定も行うことができるようですね。
まずは暗号化する前の状態を見てましょう。以下のとおり、ソースが表示されていることが確認できます。
ではコマンドを使用して暗号化してみます。
$ php -f index.php -- -o door.php -p test -s -b -z gzcompress -c 9 #ファイル名をdoor.phpにして、「test」というパスワードをかける。あとはREADMEに記載のとおりにする。
では暗号化した「door.php」を確認してましょう!
すると以下のように全くソースが確認できないようになっています。
動作確認
では、次に暗号化したファイルを公開領域に持っていき、実際にブラウザからアクセスしてみましょう。
$ mv door.php /var/www/html/
#公開領域に作成した「door.php」を移動
$ cd /var/www/html/
$ ls
chgmail.php chgmailform.php door.php index.html mypage.php nslookup.php
#公開領域に「door.php」があることを確認
ではブラウザからアクセスしてみます。(今回の環境では「http://192.168.70.141/door.php」でした。)
何も表示されず、入力する枠しか表示されていません。
では枠内(赤枠の個所)に先ほど設定したパスワードである「test」を入力してみます。
すると以下のとおり、本来のバックドアの画面が表示されます。
機能は色々あり、ターミナル、eval等様々な機能を使用することができます。
もしこれを公開しているWebサーバに置かれてしまったらと考えると・・・
最後に
勉強会で発表した内容について、補足の記事を記載しました。
今回発表したかった内容としては、バックドアの紹介をしたかったわけではありません。
こういったファイルが公開されている現状を知ってほしかったのです。
一般的なイメージとして、ハッカーやクラッカー等は非常に高いプログラミングスキルを持ちテクニカルな印象を持っていると考えている方が多いと思います。
しかし、公開されているツール等を上手く使えば必ずしも高いスキルが必要ではないということを知って貰いたかったのです。
※もちろん多少の脆弱性の知識やコマンドの操作はできる前提ですが。
PCを持っている人であればハッカーやクラッカーになってしまう可能性はあります。
なので、自組織は自ら管理しているサーバ等のセキュリティ対策は常に気を付けておく必要があります。
皆様も自分のサイトやサーバを一度見直し、セキュリティリスクが存在していないか確認してみてはいかがでしょうか。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント