miércoles, enero 12, 2011

Community Shell availables

Una de la forma con la que tratan los servidores web de protegerse contra las webshells es la de utilizar soluciones antimalware con firmas de las shells más utilizadas. Por supuesto, también están los que tratan de hacer indetectables estas shells, cambiando las firmas, ofuscando el código o haciendo pruebas para evadir las firmas con trucos sencillos.

Sin embargo, una vez que quedan subidas a un sitio web publicado en Internet, éstas shells quedan expuestas a unos "grandes enemigos": Las arañas de los buscadores. Estas arañas las indexan y las hacen accesibles a cualquiera que las busque.

Ayer andaba yo un poco justo de tiempo y quería hacer una pruebecilla que tal vez con el nuevo Código Penal quedara en una franja gris, así que, para no andar perdiendo el tiempo, decidí buscarme alguna de estas shells en Internet.


Figura 1: 90.000 shells indexadas

Como podéis ver hay indexadas, solo del tipo que busqué yo, más de 90.000, así que siempre hay alguna disponible cuando la necesitas. Claro, al no estar protegidas, uno "no sabe" si es que el administrador las ha puesto para uso público, algo similiar a lo que hace Luciano Bello con su home, o si ha sido un atacante. Con lo que... ¿está mal si la usamos?


Figura 2: Una shell a disposición pública

Otra cosa que tienes que tener en cuenta es que alguna de esas shells podría ser un honeypot o podría estar "vigilada" así que si puedes utilizar algún sistema de anonimato better than better.

Saludos Malignos!

6 comentarios:

  1. Hola Chema, creia que filetype ya no se usaba para Google Hacking y en su lugar se utilizaba ext.... Veo que ya ambas funcionan.

    ResponderEliminar
  2. Chema!Disculpa mi ignorancia, pero no entendi a donde estas accediendo.. al webshell(atacante) o a las firmas de shell del una pagina..

    ResponderEliminar
  3. que majo Luciano! me encanta la gente así, yo me hago de su club de fans!

    ResponderEliminar
  4. Hola Chema.
    Me ha resultado curiosa esta entrada y he realizado la misma cádena de búsqueda que has usado en google:
    intitle:"- N3t" filetype:php undetectable
    Efectivamente en la primera página indica que hay más de 90.000 resultados (en mi caso pone "Aproximadamente 94.800 resultados (0,08 segundos)" ).
    Sin embargo, si vas a la novena página (o en adelante), te pone "Página 9 de 82 resultados (0,09 segundos) " y no hay más páginas.

    Resulta curioso que google indique que tiene indexado más de 90.000 página con esa búsqueda y realmente sólo indexe 82 resultados.

    Sólo me queda añadir:...
    Chema!!! Google te está vacilando!!

    ResponderEliminar
  5. Correcto.. solo hay 9 páginas, no se obtienen mas resultados.

    ResponderEliminar
  6. Hay más de 90.000 resultados. Google limita a 1.000 en cada query, si quieres más, tienes que filtrarlos por otros parámetros....

    como hacemos en la FOCA.

    Saludos!

    ResponderEliminar