Muchas veces, a la hora de investigar una intrusión, se suele tener una
check-list de sitios y técnicas que han podido ser empleadas para
ocultar una backdoor por parte de un atacante para mantener el acceso.
De lo buena/mala que sea esa check-list depende el número de horas que
vas a pasar intentando localizar el 'regalo' del visitante.
Aquí ya hemos hablado alguna vez sobre cómo 'backdoorizar' un servidor apache y decíamos que algo muy común era el uso de peticiones POST en vez de GET para intentar no salir en la foto.
Otra forma de comunicarse con un backdoor que se encuentre en un
servidor web es enviando los comandos en una cookie, esta técnica se
puede ver implementada en la herramienta c00kiesD00r que cuenta con una parte para el servidor y un cliente que funciona en Windows y Linux para comunicarse con él.
La parte del servidor se puede implementar en muy pocas líneas de PHP
Tal y como está implementada, la herramienta es un muy buen PoC aunque
relativamente fácil de detectar. Si sobre ella construimos algo que
lleve ofuscación, y la parte del servidor la añadimos a algún fichero
.php legítimo, podemos encontrarnos en un escenario bastante más
complicado de abordar desde el punto de vista de un analista forense
