php malware analysis

การวิเคราะห์การตัดหยาบของซอร์สโค้ด PHP ที่ฉันได้รับผ่านการรันหม้อน้ำผึ้ง WordPress

สิ่งนี้แสดงให้เห็นถึงสิ่งที่ฉันคิดว่าตัวป้อนด้านล่างที่แฮ็คไซต์ WordPress ทำเมื่อพวกเขามีการเข้าถึงอินสแตนซ์หรือโฮสต์ WordPress ใหม่ที่ผิดกฎหมาย มันไม่ใช่วิทยาศาสตร์ แต่อย่างใด ฉันแค่ถอดรหัสชิ้นส่วนของมัลแวร์ที่มาถึงหม้อน้ำผึ้งหนึ่งหม้อและฉันเพียงแค่ถอดรหัสชิ้นส่วนเหล่านั้นที่น่าสนใจเพราะวิธีการดาวน์โหลดการทำให้งงงวยหรือเนื้อหาที่ไม่ซ้ำกัน สิ่งแปลกประหลาดเป็นตัวแทนมากเกินไปเพราะสิ่งนั้น

คอลเลกชันของ PHP มัลแวร์ทั้งหมดที่พบในป่าเหมาะกับหลายหมวดหมู่:

• เครื่องมือสแปมอีเมล
• เข้าถึงการยืนยัน
• การลาดตระเวนซึ่งมีหมวดหมู่ย่อย
• เว็บเชลล์
• แบ็คดอร์
• เซิร์ฟเวอร์ถุงเท้า
• http redirectors
• ผู้จัดการไฟล์
• ผู้คาดเดารหัสผ่าน

ชุดค่าผสมบางอย่างเกิดขึ้น: Web Shells โดยเฉพาะอย่างยิ่ง WSO มักจะถูกใช้เป็นแบ็คดอร์ (การกระทำของ PHP, การกระทำ RC) การตรวจสอบการเข้าถึงเป็นรูปแบบของการลาดตระเวน

Recon บางครั้งเพียงแค่ดูว่า CMS/Frameworks มีอยู่บ้าง แต่บางครั้งก็รวบรวมข้อมูลเกี่ยวกับ ID ผู้ใช้ประเภทและเวอร์ชันของระบบปฏิบัติการคำแนะนำของระบบไฟล์ซึ่งมีประโยชน์สำหรับการเคลื่อนไหวด้านข้างที่อาจเกิดขึ้นเท่านั้น GetDomains Recon ดูเหมือนจะเป็นทั้งสองอย่าง

สำหรับฉันแล้วดูเหมือนว่ามี "การตัดข้าม" ของคอลเล็กชั่นและการวิเคราะห์ประเภทนี้

• แคมเปญคาดเดารหัสผ่าน
• วิธีการดาวน์โหลดสามัญกับมัลแวร์อื่น ๆ
• การใช้รหัส "หยด" ทั่วไป
• รหัสบ้านโทรศัพท์ทั่วไป
• รหัสเชลล์เชื่อมต่อด้านหลังทั่วไป (โดยปกติ Perl)
• วิธีการเข้ารหัส/เข้ารหัส (เช่น FOPO)
• ตำแหน่งทางภูมิศาสตร์ของการโจมตี IP
• แคมเปญที่เกี่ยวข้องกับมัลแวร์เฉพาะ
• การเข้าถึงที่ตามมาของรหัสที่ดาวน์โหลด
• การเข้าถึงก่อนหน้านี้ของรหัสที่ดาวน์โหลด
• รายการรหัสผ่านทั่วไปที่ใช้สำหรับการเดา

รหัสที่ตรวจสอบไฟล์เว็บไซต์ที่ถูกบุกรุกสำหรับชิ้นส่วนของ PHP ที่ระบุว่าไฟล์เหล่านั้นอาจเป็นมัลแวร์ เปลี่ยนชื่อลบหรือซ่อมแซมไฟล์ที่ต้องสงสัยซึ่งอาจทำให้ส่วนใหญ่ไม่ทำงาน ฉีดรหัสลงใน WSO เว็บเชลล์ที่เพิ่มการตรวจสอบคุกกี้พิเศษเป็นตัวควบคุมการเข้าถึง

ตัวจัดการ PHP ที่ดาวน์โหลดรันจากนั้นลบโปรแกรม Python ที่ดาวน์โหลดรายการชื่อโดเมนระบุผู้ใช้บล็อก WordPress ในชื่อโดเมนเหล่านั้นและพยายามเดารหัสผ่านที่ใช้งานได้ เดารหัสผ่านโดยใช้การโทร xmlrpc.php ไม่ใช่ผ่านหน้าการเข้าสู่ระบบ WordPress

574 อินสแตนซ์ของเครื่องมือสแปมอีเมลที่ดาวน์โหลดไปยังเว็บเชลล์ 7 ประเภทที่แตกต่างกันตามด้วย 559 พยายามส่งอีเมลทดสอบผ่าน URL เครื่องมือสแปม ฉันเสนอการออกแบบสมมุติฐานสำหรับระบบกระจายนี้

2019-11-01 จับแคมเปญที่คล้ายกัน

การดาวน์โหลด backdoored มากที่สุดที่ฉันเคยเห็น WSO 2.1 เว็บเชลล์ที่มีบ้านโทรศัพท์สองเครื่องยังดาวน์โหลดเครื่องมือส่งจดหมาย Leafmail และ WSO 2.6 Web Shell

อินสแตนซ์ของ B374K Web Shell ซึ่งได้รับรหัสจากข้อมูล EXIF ​​ของรูปภาพ JPEG ของ googleusercontent.com

ลูกหลานของ B374K เว็บเชลล์อาจเป็น v2.2

WSO Webshell ที่เข้ารหัส FOPO ที่ฉันตัดแต่งด้วยมือเพราะฉันไม่เชื่อว่ามันถูกเข้ารหัส FOPO จริงๆ มาถึงแคมเปญเดียวกันกับที่ส่งมอบเชลล์ K4X

เว็บเชลล์ที่มีความสามารถระดับกลางดาวน์โหลดพร้อมกับปลั๊กอินปลอม LOGIN_WALL อาจเกี่ยวข้องกับ C99 Web Shell

อีกหนึ่งอินสแตนซ์ที่เข้ารหัส Autokey ของ ring.php Web Shell การทำให้งงงวยเปลี่ยนไปและนี่ไม่ใช่ส่วนหนึ่งของการดาวน์โหลด LOGIN_WALL

gsptg.php ดูเหมือนจะพยายามโน้มน้าวให้ผู้รวบรวมข้อมูลเว็บแมงมุมเครื่องมือค้นหาและบอทกลับมาบ่อยครั้ง มนุษย์ธรรมดาอาจยังคงเห็นไซต์ WordPress ที่ถูกบุกรุก แต่ก็ส่งผู้ใช้ที่อ้างถึงโดยโดเมน. KR หรือใช้ภาษาเกาหลีในเบราว์เซอร์ของพวกเขาไปยัง URL ใหม่

ดาวน์โหลดผ่าน ring.php

มัลแวร์ชุดที่ได้รับระหว่าง 2017-11-23 ถึง 2018-05-03 การแบ่งปันวิธีการเข้ารหัสทั่วไป การเข้ารหัสดูเหมือนจะมาจาก Webo Series ของ Web Series แต่มีคีย์ที่สั้นกว่ามาก (8 vs 44 ไบต์) อย่างน้อย 52 การดาวน์โหลดที่แตกต่างกันรวมถึง 4 อินสแตนซ์ของ Mumblehard มันสดชื่นที่จะเห็นคนที่ใช้การเข้ารหัสที่ไม่สำคัญ

Mumblehard Botnet: เซิร์ฟเวอร์ที่ถ่ายทอดการเชื่อมต่อ TCP/IP และเพย์โหลดแบบถาวรดำเนินการโดย cron ซึ่งสามารถดาวน์โหลดรหัสจากคำสั่งและเซิร์ฟเวอร์ควบคุมจากนั้นเริ่มทำงาน

ดาวน์โหลดผ่าน WSO 4.x หม้อน้ำผึ้งของฉันจับมมเบิ้ลฮาร์ดที่พัฒนาขึ้น

การตรวจสอบอินสแตนซ์ 44 Mumblehard ที่ฉันจับได้เพื่อดูว่ารหัสและวิธีการดำเนินไปอย่างไรเมื่อเวลาผ่านไป

ประตูหลังที่ป้องกันด้วยรหัสผ่านปลั๊กอินที่ขยายได้

2019-05-09 ฉันได้รับการดาวน์โหลด V3-01 ของแบ็คดอร์นี้ มันมีของสนุก ๆ มากมาย

รายการบล็อก Quttera ให้คำอธิบายที่ไม่เฉพาะเจาะจงของแบ็คดอร์เหล่านี้

หยดที่มุ่งเน้นวัตถุซึ่งสืบเชื้อสายมาจากการหยดประตูด้านหลังของโค้ดที่เข้ารหัสรหัส การโจมตี WSO ที่แท้จริงจะทิ้งไว้ข้างหลังประตูหลังที่ขยายได้ v2.0-1

แคมเปญที่จะติดตั้ง Backdoors V1-01 ที่ขยายได้ ผู้โจมตีพยายามตรวจสอบเป้าหมายการทำงานของ WSO Web Shell ก่อนการติดตั้ง

จับแคมเปญที่สองในปี 2019-07-07

แบ็คดอร์ที่มีคนพยายามเข้าถึงมากกว่า 1 ล้านครั้งบนเว็บไซต์ของฉันเพียงอย่างเดียว ค่อนข้างโง่ในตัวของมันเอง แต่เห็นได้ชัดว่าเป็นตลาดใต้ดินสำหรับแบ็คดอร์นี้มีอยู่

คอลเลกชันของมัลแวร์ปลอมตัวเป็นปลั๊กอินที่อยู่ระหว่างการพัฒนาที่ใช้งานอยู่

ปลั๊กอินรุ่นโทรจันที่เป็นจริง

B374K มีลิงก์สำหรับดาวน์โหลดเว็บเชลล์ที่มีความสามารถพอสมควรนี้จาก Pastebin

ชุดรูปแบบปลอม-อิชพร้อมด้วย WSO Web Shell ที่โทรศัพท์กลับบ้านและ webroot.php เวอร์ชันก่อนหน้า

อีกธีม WordPress ที่ถูกบุกรุกซึ่งมีส่วนประกอบแบบสุ่มของมัลแวร์

ญาติของ webrot.php หรือบางครั้งเรียกว่า "webrootv3" เปลือกหลังมากขึ้นกว่าที่คุณสามารถเขย่าไม้ได้

แบ็คดอร์ที่มีความสามารถในระดับปานกลาง: บันทึกและดำเนินการไฟล์รวมถึง PHP Eval ทันที ใช้การเข้ารหัส PHP RC4 ดั้งเดิมสำหรับรหัสผ่านและการถ่ายโอนข้อมูล

แบ็คดอร์ Eval Eval ขนาดเล็กที่สับสนสูง ชั้นแรกของการทำให้งงงวยอาจเป็น polymorphic, redone ทุกครั้งหรือสำหรับทุกการติดตั้ง

สร้างไฟล์ .htaccess ที่เปลี่ยนเส้นทางผู้ใช้ไปยัง Yourstockexpert.su, Googlebot, Bingbot และ Baiduspider ได้รับ 404

การยกเลิกการเปลี่ยนแปลงชื่อไฟล์ใด ๆ ที่การเรียกใช้เครื่องทำความสะอาดมัลแวร์ศาลเตี้ยอาจทำเช่นกัน ดูเหมือนจะแปลก ๆ ตั้งแต่การร้องเรียนชื่อไฟล์ ". ถูกสงสัย" อยู่รอบ ๆ แต่ไม่ล้นหลาม อาจจะเป็นสงครามระหว่างสปาปัง?

WSO 2.5 เว็บเชลล์แก้ไขอย่างหนักโดยการเพิ่มรหัสจากเครื่องมือแฮ็คอื่น ๆ

3.993 วินาที WSO (Web Shell by Orb, aka "filesman") การติดตั้งมีเพียงแปดคำขอ HTTP รวมถึงการเข้าสู่ระบบ WordPress เย็น

นวนิยาย แต่แปลกประหลาด WSO 2.5 ติดตั้งผ่าน apikey.php apikey.php จะได้รับการติดตั้งผ่านการอัปเดตปลั๊กอินด้วยปลั๊กอินที่เป็นอันตรายดังนั้นนี่จึงไม่เป็นวงกลมเท่าที่ควรจะเป็นคือ apikey.php ติดตั้งผ่านอินสแตนซ์ WSO

อีก WSO 2.5 แก้ไขเล็กน้อยเรียกว่า 2.6 และบรรจุในหยดที่อาจไม่ทำงาน มาถึงประมาณหนึ่งชั่วโมงหลังจากความพยายามที่น่ากลัวของ Chinafans

ก่อนหน้าการติดตั้ง WSO 2.5 Webshell บางคนจากที่อยู่ IP จีนเดียวกันพยายามติดตั้ง defacement

รหัสผ่านทั้งหมดของหม้อน้ำผึ้งของฉันเคยเห็นมาก่อนที่จะเข้าสู่ระบบอินสแตนซ์ WSO

สิ่งที่ได้รับผลกระทบจากเครื่องมือการหาประโยชน์จากเว็บ

เครื่องมือแฮ็คที่ปลอมตัวเป็นปลั๊กอินซึ่งมีส่วนเกี่ยวข้องกับลูกเรือแฮ็คของบังคลาเทศ

โทรจันผู้ดูแลระบบระยะไกลสำหรับทั้ง WordPress และ Joomla

เห็นได้ชัดว่าเป็นความพยายามที่จะนำการเข้าชมเว็บจีนไปยังคาสิโนมาเก๊าด้วยการเชื่อมโยงสแปม เครื่องมือค้นหาไม่ซับซ้อนเกินไปที่จะใช้งานได้หรือไม่?

แก้ไขไฟล์. asp, .aspx, .php และ. jsp ทั้งหมดที่มีการกำหนดชื่อตัวแปร remote_server เพื่อกำหนด "www.guanjianfalan.com" ให้กับตัวแปรนั้น

การอัปโหลดสองไฟล์ซิป-รูปแบบหนึ่งในนั้นคือ WSO 2.5 พร้อมรหัส camoflaging ไฟล์ zip อื่น ๆ มีรูปแบบเอลฟ์ที่สามารถเรียกใช้งานได้และ PHP ชิ้นเล็ก ๆ เพื่อเรียกใช้งานที่สามารถเรียกใช้งานได้ในพื้นหลัง

ดูเหมือนจะเป็นสิ่งที่เพิ่มประสิทธิภาพกลไกค้นหา มันให้บริการผลลัพธ์ที่แตกต่างกันสำหรับผู้เรียกว่า "มนุษย์" หรือ "บอท" เมื่อมันตัดสินใจว่าคุณเป็น "บอท" มันจะขอให้เซิร์ฟเวอร์ข้อความกรอกเทมเพลต HTML ล้มเหลวนั้นได้รับข้อความจาก ask.com หรือ yahoo.com

หยดที่ทิ้งไฟล์ PHP ไว้ด้านหลังซึ่งจะฉีดรหัส PHP ลงในไฟล์ header.php ของธีมทุกรูปแบบ หากการฉีดชุดรูปแบบกำหนดว่าการเข้าถึงมาจาก "บอท" (โดยทั่วไปแล้วทุกเครื่องมือค้นหาที่เคยเป็นมารวมถึงห้องสมุดตัวรวบรวมข้อมูลจำนวนมาก) มันจะได้รับ HTML จาก zalroews.pw เพื่อกลับไปที่ "บอท"

แคมเปญ 12-Access เพื่อติดตั้ง Backdoor การเข้าถึงจากที่อยู่ IP 12 ที่แตกต่างกันภายใน 20 วินาทีพยายามดาวน์โหลดหนึ่งใน 2 แบ็คดอร์ที่สร้างความเสียหายเป็นรายบุคคล

12-request, ประมาณ 30 วินาทีแคมเปญติดตั้ง malwares 2 ตัว, ตัวแปร WSO 2.5 และ Leafmailer

เซิร์ฟเวอร์ถุงเท้า PHP ดั้งเดิม ฉันมักจะเห็น Perl และแม้แต่การรวบรวม ("bouncer") เซิร์ฟเวอร์ถุงเท้าที่ดาวน์โหลดมา คุณสามารถขายเซิร์ฟเวอร์ถุงเท้าในตลาดใต้ดินบางแห่งได้หรือไม่? มีค่าในการตัดแบบนี้หรือไม่?

แคมเปญสั้น ๆ (11 วินาที, 17 http คำขอ) ที่ต้องการติดตั้งรหัสเซิร์ฟเวอร์ถุงเท้า Simple Perl แต่ล้มเหลวอาจเป็นเพราะการจำลอง WSO ของฉันไม่ถูกต้องเพียงพอ

พยายามติดตั้งเครื่องมือสแปมอีเมลสามครั้งซึ่งมีความพยายามในการเรียกใช้เครื่องมือ 34 วินาทีต่อมา

สองรุ่นของบางสิ่ง

C99 เว็บเชลล์ภายใน 10-12 ระดับของการทำให้งงงวย

เว็บเชลล์ง่าย ๆ ให้เครดิตกับ URL ของชาวอินโดนีเซีย

แบ็คดอร์ที่เรียบง่ายมีคุณสมบัติเพียงพอที่จะอนุญาตให้มนุษย์ใช้งานได้โดยไม่ต้องใช้ระบบอัตโนมัติมากเกินไป การใช้งานอาจเป็นไปโดยอัตโนมัติ อาจจะหงิกงอในการที่มันมีแบ็คดอร์เองถ้าคุณรู้พารามิเตอร์ Magic HTTP

สแปมอีเมลที่ส่งผ่านเชลล์เว็บ WSO ซึ่งมีอายุจนถึงปี 2558 มีคุกกี้ศาลเตี้ย

เครื่องมือสแปมอีเมลระเบิดคำขอโพสต์เดียวเป็นอีเมลหลายฉบับ มีฟังก์ชั่น "ตรวจสอบ" ที่ค้นหาที่อยู่ IP ของเครื่องที่ถูกบุกรุกในรายการอีเมลสีดำต่างๆ

เรียบง่ายและมีรหัสอย่างรอบคอบอย่างรอบคอบ

อีกตัวเล็กที่มีรหัสขนาดเล็กที่มีรหัสอย่างระมัดระวัง

WSO "Web Shell by Orb" ดาวน์โหลดโดยอินสแตนซ์ที่ติดตั้งไว้ก่อนหน้าของ WSO

เครื่องมือสแปมอีเมลพร้อม WSO เว็บเชลล์ต่อท้าย สมบูรณ์ด้วยรหัส "Home Home" เพื่อแจ้งเว็บไซต์ยูเครนว่ามีคนเรียกใช้โปรแกรม

รู้วิธีการรับรู้ 24 ระบบ CMS และเฟรมเวิร์กที่แตกต่างกัน ตอบสนองต่อโพสต์ HTTP พร้อมบทสรุปที่เป็นอนุกรมของ CMS และเฟรมเวิร์กที่พบ

เว็บเชลล์ภาษาจีนที่มีคุณสมบัติเต็มรูปแบบพร้อม Webapp ที่ทันสมัย

เปลี่ยนเส้นทางเบราว์เซอร์โทรศัพท์มือถือไปยัง URL อื่น ๆ ผ่าน mod_rewrite comands ในเอกสารรูทเอกสาร. .htaccess

ดาวน์โหลดรหัส PHP ที่เมื่อดำเนินการให้สร้างไฟล์ HTML ที่อยู่ IP ที่ดาวน์โหลดได้พยายามเข้าถึงไฟล์ HTML ทันทีดังนั้นนี่อาจเป็นเพียงการตรวจสอบการเข้าถึง

สร้างไฟล์ .htaccess ที่สามารถเปลี่ยนเส้นทางไปยังไซต์ยาเม็ดรัสเซียได้ ความคิดเห็นรหัสสามารถตรวจสอบการปรากฏตัวของโฮสต์ที่ถูกบุกรุกในรายการสีดำ

ฉันตั้งสมมติฐานว่านี่เป็นเครื่องมือลาดตระเวนไดเรกทอรีโฮสต์เสมือนจริงของ Apache มองหาชื่อไดเรกทอรีที่มีชื่อโดเมนมากกว่า 150 ชื่อปรากฏต่อท้ายดูเหมือนว่าจะเน้นรหัสประเทศรัสเซียและยุโรปตะวันออก

PHPSPY Web Shell ที่แก้ไขแล้วซึ่งปลอมตัวเป็นไฟล์ GIF ที่ดาวน์โหลดเป็นการอัปเดตธีม การดัดแปลงเป็นอย่างน้อยที่จะเปลี่ยนป้ายกำกับเป็นตุรกีและเพิ่มรหัส "โทรศัพท์หน้าแรก" ที่ให้ใครบางคนในตุรกีรู้ว่าเว็บเชลล์ได้ดำเนินการแล้ว ไม่มีเกียรติในหมู่โจร!?!

มัลแวร์ PHP SuperfetchExec โบราณยังคงใช้สตริง XOR เก่าที่ใช้ในปี 2012

เว็บเชลล์ที่ได้รับการดัดแปลงโดย Orb มาจากเวอร์ชัน 2.5 หรืออาจเป็น 2.9 การทำให้งงงวยหลายระดับ

ปลั๊กอินตัวจัดการไฟล์ของจริง การใช้เทคโนโลยี COTS ที่น่าสนใจ

เครื่องมือสแปมอีเมลที่มีการส่งพารามิเตอร์อีเมล/ถุงเท้า/สแปมทั้งหมดในคุกกี้ HTTP

คนกลางเขียนรหัสและงงงวยสำหรับหม้อน้ำผึ้งเฉพาะของฉันซึ่งทำหน้าที่เป็นตัวตัดระหว่างตัวดาวน์โหลดและเว็บไซต์อื่น ทำการทดสอบการฉีด SQL บนเว็บไซต์อื่น ๆ

หยดที่ต้องอาศัยตัวแปร WSO 2.9 ในการดำเนินการยกเว้นการเข้ารหัส Base64 นั้นยุ่งเหยิง ลดโปรแกรม PHP ที่สามารถ (a) ลบไฟล์ .htaccess ทั้งหมดได้ที่เอกสารรูทหรือ (b) สร้างจาวาสคริปต์ที่มีการใช้งานบางส่วนซึ่งจะนำคุณไปยังเว็บไซต์ Scammy

ชิ้นส่วนเล็ก ๆ ของ PHP ที่ถูกบดบังซึ่งเรียกใช้งานฟังก์ชั่นที่มีชื่อในคุกกี้ HTTP บนรหัส PHP ยังมีชื่ออยู่ในคุกกี้ HTTP ยิ่งงงงวยมากกว่าที่ฟัง

PHP ที่ฉีดรหัส ASP ซึ่งทำให้ HTML Hyperlinks ลงใน HTML ที่สร้างขึ้นด้วย ASP ตัวเลือกแปลก ๆ ที่จะใช้กับไซต์ WordPress ที่ถูกบุกรุกซึ่งอาจโฮสต์บน Linux

ชุดรูปแบบ WordPress ที่มีเชลล์เว็บ PHPSPY สองตัวและตัวจัดการไฟล์บนเว็บที่โทรศัพท์กลับบ้าน

ประตูหลังเข้ารหัส

เข้าถึงการตรวจสอบความถูกต้อง/การดำเนินการ PHP และตัวดาวน์โหลดไฟล์

เกตเวย์ไฟล์ Apikey.php ที่มีความสามารถและมีประสิทธิภาพมากขึ้นพร้อมกับแบ็คดอร์ประเมินทันทีที่ดาวน์โหลดผ่านเวอร์ชันที่แข็งแกร่งกว่านั้น

การอัปโหลดไฟล์และดาวน์โหลดไฟล์ที่ค่อนข้างธรรมดาและไม่ธรรมดา

เครื่องมือสแปมอีเมล "COTS" อย่างไรก็ตามฉันไม่แน่ใจว่ารูปแบบธุรกิจของ Leafmail คืออะไร ดูเหมือนจะไม่เป็นวิธีจ่ายเงิน

Leafmailer รุ่นใหม่

ถูกต้องแล้ว OOD ไปไกลเกินไปประตูหลังการประเมินที่มุ่งเน้นวัตถุ

Backdoor โพสต์ HTTP ง่ายพร้อมชื่อไฟล์ที่น่าสงสัย

PHP ที่สับสนซึ่งอาจเรียกใช้รหัสที่ส่งไปยังสองครั้ง

อัพโหลดอย่างง่ายซึ่งส่งออกบล็อกของข้อความทำลายความสามารถในการซ่อนอยู่

บางส่วนที่ทำให้งงงวยแบ็คดอร์ที่ดูเหมือนว่าจะใช้ assert() เพื่อประเมินรหัสที่ส่งผ่านในคำขอโพสต์ HTTP อัพเดทปลั๊กอิน Akismet เสียอย่างมากใช้เวอร์ชันเก่า แต่ก็แสดงความคิดเห็นด้วย

จัดทำและส่งคืนสตริงที่ใช้งานได้ด้วยเครื่องพร้อมข้อมูลเกี่ยวกับระบบไฟล์ของเว็บเซิร์ฟเวอร์รหัสผู้ใช้ที่ใช้งาน PHP หรือเว็บเซิร์ฟเวอร์และเอาต์พุต "ยกเลิก" ไม่มีอะไรเกี่ยวกับเว็บเซิร์ฟเวอร์ที่เหมาะสมเนื่องจากรหัสรีคอนนี้ถูกดาวน์โหลดไปยังสิ่งที่เชื่อว่าเป็นแบ็คดอร์ที่มีอยู่แล้ว

WSO 2.5 เว็บเชลล์ที่มีนวนิยาย 2 ขั้นตอนทำให้งงงวย ผู้โจมตียังเพิ่มรหัสต่อต้านการค้นพบบางอย่าง น่าขบขันที่สุด

ไฟล์ PHP ดาวน์โหลดผ่าน WSO ที่ถอดรหัสและ evals PHP ที่เข้ารหัส การทำให้ง่วงบางส่วนของ PHP ทั้งสองที่เข้ารหัสและการถอดรหัส PHP

อีเมลสแปมการดาวน์โหลดอาจใช้งานได้ใน 3 เว็บหรือแบ็คดอร์ที่แตกต่างกัน ดูเหมือนว่าจะเป็นส่วนหนึ่งของแคมเปญสแปมหม้อน้ำผึ้งของฉันได้รับอีเมลเพิ่มเติมแตกต่างกันเล็กน้อย

อินสแตนซ์ของเครื่องมือสแปมหน้าเว็บ "ผู้ก่อกบฏ Mailer", ผู้ประเมินผล PHP ทันทีและแบ็คดอร์รวมไฟล์ท้องถิ่น

โปรแกรม PHP ขนาดเล็กที่สามารถใช้ค่าพารามิเตอร์หลังการส่งอีเมลจากเครื่องที่ถูกบุกรุกโดยปกปิดแหล่งกำเนิดที่แท้จริงของอีเมล

ตรงไปตรงมา remailing ไฟล์ php ความพยายามในการดาวน์โหลดที่เกิดขึ้นจริงปรากฏขึ้นสองเท่าน่าจะอนุญาตให้ติดตั้งเว็บเชลล์ 2 ตัวที่แตกต่างกัน

ตัวติดตั้งสำหรับบางสิ่งบางอย่างที่จะเปลี่ยนไซต์ WordPress ที่ถูกบุกรุกให้กลายเป็นเว็บไซต์ SEO ซึ่งอาจเป็นเภสัชกรรมออนไลน์ที่เร่ขายให้กับผู้ใช้ภาษาญี่ปุ่นหรือจีน

ตัวจัดการไฟล์ที่มีน้ำหนักเบาและรวดเร็วจริงได้รับอนุญาตภายใต้ GNU GPL V2

ตัวจัดการไฟล์รหัสขนาดเล็ก 297-line-of-code ในภาษาตุรกี

แอพตัวจัดการไฟล์ไฟล์เดียวสำหรับ "แฮ็กเกอร์"

PHP ดาวน์โหลดไปยัง WSO Web Shell เมื่อเรียกใช้พารามิเตอร์รับที่เหมาะสมสามารถตรวจสอบได้ว่าชื่อโฮสต์นั้นอยู่ในการท่องเว็บที่ปลอดภัยของ Google ว่าไม่ปลอดภัยหรือในรายการบล็อกของ Spamhaus

เว็บเพจแบบอินเทอร์แอคทีฟที่ส่งอีเมลทดสอบไปยังตัวเลือกที่อยู่ของ Invoker

ดาวน์โหลดไปยังการดำเนินการประเมินผลทันทีของ WSO ทดสอบว่าสามารถเขียนไฟล์ได้และอาจเรียกใช้งานเลขคณิตอย่างง่ายใน PHP

การ defacement ไฟล์ HTML เดียวขอบคุณ Suleiman Haker แห่งซาอุดิอาระเบีย! Suliman Haker เขียน HTML ที่มีคุณภาพ