¿Por qué las conexiones de shell inversas son tan populares en el caso de una intrusión exitosa? Muchos videos de "piratería" muestran esto y se ven a menudo en la práctica.
¿La mayoría de los servidores no restringirían las conexiones salientes iniciadas por el servidor en un puerto impar? ¿No sería esto una regla básica de firewall?
Aparentemente, no como esta técnica se usa, ya que es más probable que evite los cortafuegos, lo que no entiendo es por qué.
Según mi experiencia, muchas personas se concentran en prevenir ataques en primer lugar y no en mitigar el impacto. Por lo tanto, las reglas de cortafuegos salientes a menudo no son una prioridad. Especialmente porque tiene que definir excepciones para los servidores de actualización, si se desean actualizaciones automáticas. La lista de direcciones IP debe mantenerse actualizada.
En mi experiencia, es más común que los atacantes intenten cargar phpshell / perlshell / etc. en formularios de carga de archivos. El atacante espera que los archivos se almacenen en una carpeta a la que se pueda acceder a través del servidor web con la ejecución del script habilitada. O para inyectar código PHP y remoto incluye en los parámetros de solicitud. Además, los ataques SQL y XSS son bastante comunes, al igual que el phishing. Por supuesto, mis observaciones están sesgadas por las áreas en las que estoy activo: aplicaciones web y seguridad de juegos en línea.
Dicho esto, por supuesto, sigue siendo una buena idea tener reglas de firewall salientes.
Su firewall tendrá algunos puerto de salida abierto, y los malos lo encontrarán y lo usarán. Por lo general, puede hacer un túnel a través del puerto 443 (HTTPS), o si no, puede ocultarse en los mensajes HTTP retransmitidos a través de un servidor proxy. Diablos, el producto VPN de PositivePRO hace (o, al menos, hizo) esto.
Es posible que su servidor tenga una regla de firewall saliente y que el malo pueda desactivarlo o evitarlo, dependiendo de qué tan mal sea su propiedad (y teniendo en cuenta que puede hacer que no haya " grados "de propiedad - eres o no eres.
¿Por qué conchas? Bueno, generalmente puede hacer cualquier cosa desde un símbolo del sistema que pueda hacer desde una GUI, y generalmente más. También son más rápidos y más ligeros que, digamos, tunelizar una aplicación gráfica a través de RDP. También pueden ser más fáciles de ocultar en la caja, y tienen una memoria y una huella de CPU más pequeñas.