28 ноя 2011
Поиск шелл-скриптов (shell) на сервере и устранение последствий взлома
Dmitrius Категория: LINUX » Безопасность
У нас вы можете скачать бесплатно Поиск шелл-скриптов (shell) на сервере и устранение последствий взлома .

Данный материал предоставлен сайтом Skripter.info исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
Поиск шелл-скриптов (shell) на сервере и устранение последствий взлома


После взлома сайта злоумышленник как правило оставляет shell-скрипт, который позволяет удалённо выполнять различного рода команды.

Поиск Shell-скриптов на сервере можно осуществлять по различным параметрам - если взлом “свежий” это может быть дата изменения файла. Кроме того, как правило, в shell-скриптах присутствуют характерные команды. Для начала, следует выполнить поиск по каталогу с сайтом:

egrep -rlZ -e "gzinflate" /var/www
egrep -rlZ -e "eval\(str_replace" /var/www
grep -Rl "r57shell|c99madshell|eval\|base64_decode" /var/www
grep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile) *\(" /var/www


Ну и, конечно же, желательно найти “дырку”, через которую был осуществлён взлом - поиск в логах по имени вредоносных файлов.

# вместо shell.php подставляем имя файла с вредоносным
# кодом, который найден на предыдущем этапе
grep -rl 'shell.php' /var/log
#затем поиск в найденном файле
grep 'shell.php' ./mysite_custom.log
#и затем поиск по IP-шнику, с которого было обращение к вредному файлу
grep '127.0.0.1' ./mysite_custom.log


Конечно, это далеко не все способы, однако некоторые PHP-шеллы, а также “дырки”, через которые они были оставлены этот способ позволяет обнаружить.

Часто, PHP-шелл можно загрузить непосредственно на сервер (помимо проверки загружаемых файлов, для директорий загрузки имеет смысл выключать обработку файлов PHP, да и другие скрипты) - в .htaccess или в конфигурационном файле сервера (для Apache)
php_flag engine off
# или
RemoveType .pl .cgi .php .php3 .php4 .php5


И, конечно же, файл можно загрузить по FTP - используем рекомендации по хранению и созданию паролей










Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
DeoDJe | 28 ноября 2011 22:07 | (0|0)
  • Группа: Посетители |
  • Комментарий: 1 (ссылка)

Раз затронута данная тема то наверно актуальнее становятся взломы сайтов. И что бы тикетами не мучали Дмитрий создал темку )
P.S. Самую главную дырку в головах админов которых ломают не закроешь xD

Fernando_Torres | 28 ноября 2011 23:00 | (0|0)
  • Группа: Посетители |
  • Комментарий: 2 (ссылка)

Спасибо))

htaccess | 29 ноября 2011 13:51 | (0|0)
  • Группа: Посетители |
  • Комментарий: 3 (ссылка)

Спасибо, прикрою дырки

krasav4eg | 30 ноября 2011 00:43 | (0|-1)
  • Группа: Посетители |
  • Комментарий: 4 (ссылка)

ДА Тяжело Шелл залить на dle)

Григорий | 9 апреля 2012 18:11 | 0

ai-bolit.php'ом искать удобнее, качать отсюда хттп:// revisium точка com/ai/

examplificator | 27 ноября 2014 20:19 | (0|0)
  • Группа: Посетители |
  • Комментарий: 6 (ссылка)

Самый удобный способ найти шелл, мне кажется, через SSH и консоль
Вот есть список хороших команд mr-stiher. ru/blog/find-shell-via-shh.html

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.