Инструкция
1
«Залить шелл на сайт» - значит использовать имеющуюся на сайте уязвимость с целью внедрения вредоносного скрипта (веб-шелла), позволяющего хакеру управлять чужим сайтом через командную строку. Простейший PHP-шелл выглядит так:<?php system($_GET["cmd"]); ?>
2
Хакеру не обязательно создавать собственный веб-шелл, подобные программы уже давно написаны и обладают очень большим набором функций. Задача хакера состоит в том, чтобы залить готовый шелл на сайт, обычно для этого применяются SQL- и PHP-инъекции.
3
SQL-инъекции используют ошибки в организации доступа к базам данных. Внедряя в запрос свой код, хакер может получить доступ к файлам базы данных – например, к логинам и паролям, данным банковских карт и т.п. PHP-инъекции основаны на ошибках в PHP-скриптах и позволяют выполнить на сервере посторонний код.
4
Как узнать, если ли на вашем сайте уязвимости? Можно вручную вводить определенные команды, поставлять значения в адресную строку и т.д, но для этого нужны определенные знания. Кроме того, нет никакой гарантии, что вы проверите все возможные варианты. Поэтому воспользуйтесь для проверки специализированными утилитами – например, программой XSpider. Это абсолютно легальная программа, созданная для сетевых администраторов, с ее помощью вы сможете проверить свой сайт на уязвимости. Ее демоверсию можно найти в сети.
5
Существует множество программ для поиска уязвимостей, созданных хакерами. Используя эти утилиты, администратор может проверить свой сайт теми же инструментами, которыми его могут попытаться взломать. Чтобы найти эти инструменты, наберите в поисковике «SQL-сканеры» или «сканеры PHP-уязвимостей». В качестве примера утилиты, позволяющей, при наличии SQL-уязвимости, получить информацию из базы данных, можно привести программу Havij – Advanced SQL Injection Tool. Проверить свой сайт на присутствие SQL-уязвимости можно с помощью хакерской утилиты NetDeviLz SQL Scanner. Выявленные уязвимости следует немедленно устранить.