Интересная штука всплыла, начали использовать куки как канал управления взломанным сайтом, и это уже не классическая история с файлами на сервере. Схема простая, на сервере лежит веб-шелл, но он никак себя не проявляет, пока не приходит нужный cookie, и со стороны это выглядит как обычный запрос, без явных признаков атаки.
За счет этого детект падает, потому что системы защиты привыкли смотреть на файлы, запросы, параметры, а тут команда прилетает в cookie и триггерит выполнение. Дальше стандартно, выполнение кода, загрузка файлов, доступ к системе, но входная точка не светится, и можно долго сидеть незаметно.
Еще момент, который напрягает. Такие штуки часто делают самовосстанавливающимися, если удалить файл, он через время создается заново, через задания или другие куски кода, и начинаешь чистить, а оно возвращается. И это не всегда сложные взломы. Часто хватает доступа к аккаунту хостинга или панели, дальше уже через обычные инструменты все разворачивается, без каких-то экзотических уязвимостей. Сайт может выглядеть чистым, в админке тишина, а по факту управление уже отдано наружу.
Кто сталкивался с таким, ловили подобные истории или пока только в новостях?
За счет этого детект падает, потому что системы защиты привыкли смотреть на файлы, запросы, параметры, а тут команда прилетает в cookie и триггерит выполнение. Дальше стандартно, выполнение кода, загрузка файлов, доступ к системе, но входная точка не светится, и можно долго сидеть незаметно.
Еще момент, который напрягает. Такие штуки часто делают самовосстанавливающимися, если удалить файл, он через время создается заново, через задания или другие куски кода, и начинаешь чистить, а оно возвращается. И это не всегда сложные взломы. Часто хватает доступа к аккаунту хостинга или панели, дальше уже через обычные инструменты все разворачивается, без каких-то экзотических уязвимостей. Сайт может выглядеть чистым, в админке тишина, а по факту управление уже отдано наружу.
Кто сталкивался с таким, ловили подобные истории или пока только в новостях?
