Когда тебе удалось найти и проэксплуатировать уязвимость, ну например выполнить RCE, то тебе сразу же захочется бэкконнекта. Ок, звёзды сошлись так, что тебе удаётся произвести бэкконнект на свой сервер, но как элементарно замаскировать свой бэкконнект, чтобы невнимательный администратор не заметил твоих грязных делишек?😏
В данный момент, большинство панелей управления VPS-сервером позволяет прописать PTR-запись для того чтобы твои письма не попадали в спам, и всем от этого было хорошо)
Так вот, если в PTR-запись твоего сервера прописать localhost.localdomain (или домен атакуемого сервера😉), то при бэкконнекте на атаккуемом сервере, если вывести результаты команд lsof -i tcp или netstat -alt, то можно увидеть примерно следующую картину:

screenshot_2017-02-27_21-36-19

Как показывает практика, нужно быть очень внимательным и опытным, чтобы заподозрить что-либо неладное в данном выводе.
С выводом lsof дела обстоят немного лучше, т.к. тулза по умолчанию отображает имя PID’a, но для невнимательного что sh, что ssh на одно лицо 😃

screenshot_2017-02-27_21-36-32

Мораль сей басни такова — не верь DNS, и используй вышеперечисленные тулзы без разрешения имен:

lsof -i tcp -Pn
netstat -altn

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.