9 Ocak 2015 Cuma

Sunucuda C99 / R57 vb PHP Arka Kapıları (Backdoor) Bulmak

Sunucu da C99 ve R57 php shell scriptlerini arayalım:

C99 Shell ara:
grep -iR 'c99shell' /home
 find /home -name \*.php -type f -print0 | xargs -0 grep c99


R57 Shell ara:
grep -iR 'r57shell' /home

~10 Mb. 'dan büyük PHP dosyalarını ara (/home):
find /home -name "*.php" -type f -size +10000k -exec ls -lh {} \; | awk '{ print $9 ": " $5 }'
Tehlikeli PHP Fonksiyonları arayalım:
grep -RPn "(passthru|shell_exec|system|base64_decode|eval)" /home

Küçük bir script ile tüm sunucuyu taramak yerine sadece public_html klasörlerini tarayabilirsiniz. Cpanel/WHM kullandığım CentOS sunucu için yazdığım basit bash scripti kendinize göre uyarlayabilirsiniz (/home/kullaniciadi/public_html/ klasörlerini tarar):
#!/bin/bash
for d in /home/*/ ; do

        grep -iR 'c99shell' "$d"public_html
        grep -iR 'r57shell' "$d"public_html
        grep -RPn "(passthru|shell_exec|system|base64_decode|eval)" "$d"public_html
        find "$d"public_html -name \*.php -type f -print0 | xargs -0 grep c99
        find "$d"public_html -name "*.php" -type f -size +10000k -exec ls -lh {} \; | awk '{ print $9 ": " $5 }'

done


Gelişmiş özellikler ile Linux Malware Detect kullanabilirsiniz.

Kaynak: Cyberciti.biz (PHP güvenliği üzerine birçok konu var)

0 yorum:

Yorum Gönderme