Reverse shell — bu qurbon kompyuteri tashqariga (hujumchi tomonga) ulanish ochib, buyruqlarni qabul qiladigan holat. Bu mavzu xavfli bo‘lgani uchun bu yerda faqat aniqlash va himoya haqida gaplashamiz.
Asosiy belgilari:
- Outbound ulanishlar: notanish IP/portga doimiy chiqish
- Qurilmada g‘alati process:
cmd/powershell/bashkutilmagan joyda - Firewall loglarda bloklangan, takrorlanuvchi urinishlar
Qanday aniqlash
- Windows: Resource Monitor / netstat, Event log (PowerShell ScriptBlock logging bo‘lsa zo‘r)
- Linux:
ss ,lsof -i ,journalctl - Network: DNS tunneling alomatlari, doimiy beacon trafik
Himoyalanish
- Outbound policy: faqat kerakli port/domenlarga ruxsat
- EDR/AV + audit logging
- Admin huquqlarni cheklash
- Patch va makro/scriptlarni cheklash (AppLocker/WDAC)