Keresünk php hosting Shelley (php web shell)
Gyakran előfordul, hogy az oldal nem világos, hogy miért nem működik, ahogy mi szeretnénk. Például, ha megy a Google Search találjuk magunkat, valaki másnak a helyén, hanem a miénk. Vagy kezdik látni a szörnyű fékek az oldalon. Itt az ideje, hogy csinál egy biztonsági ellenőrzés. Keresés az interneten Shelov (vírusok a helyszínen) nem olyan nehéz feladat, de ez időt igényel, és ellátást. Ezek a receptek nem csodaszer minden bajok, de csak a probléma megoldására. Akkor nyitva áll a kísérletezés és tesztelés az ötleteket. Ezen felül, ezek a tippek rendszeresen kiegészített új információkat.
Így az a feladat feltételei: van egy héj a szerveren, és meg kell találni azt. Van ssh.
A következő parancs megmutatja nekünk a php fájlt módosították az elmúlt 7 nap. Azaz, ha a helyén elég érett, és vittük az elmúlt héten, ez a csapat nagy segítség a vizsgálatba.
találni. -típusú f -name '* .php' -mtime -7
Szükségünk lesz a következő parancsot:
találni. -name \ * | xargs -n 1 grep -Hn "default_action"
Úgy néz ki, az összes fájl, amely részkarakterláncként default_action
ehelyett azt kell helyettesíteni default_action jellemző Sélának részkarakterláncként. Például, lehet, hogy HTTP_USER_AGENT:
találni. -name \ * | xargs -n 1 grep -Hn "HTTP_USER_AGENT"
preg_replace ( "
találni. -name \ * | xargs -n 1 grep -Hn "preg_replace (" "
default_action = "FilesMan"
találni. -name \ * | xargs -n 1 grep -Hn "" FilesMan ""
eval (base64_decode
találni. -name \ * | xargs -n 1 grep -Hn "eval (base64_decode"
Íme néhány hasznos parancsot:
egrep -rlZ -e "eval \ (gzinflate \ (" / usr / home
egrep -rlZ -e "gzinflate" / usr / home
egrep -rlZ -e "eval \ (str_replace" / usr / home
grep -Rl "r57shell | c99madshell | eval \ | base64_decode" / home
grep -RPn "(passthru | shell_exec | rendszer | phpinfo | base64_decode | chmod | mkdir | fopen | fclose | readfile) * \ (" public_html /
Keresés szövegben «eval» összes fájl .php kiterjesztést a megadott könyvtárba:
find / dir / a / find / -type f -iname "* .php" -exec grep -Him1 'eval' <> \;
Keresés «eval» fájlok közül, amelyek kiállított jobbra 777
find / dir / a / találni / -perm 2 típusú f -iname "* .php" -exec grep -Him1 'eval' <> \;
Egyszerű keresés php-script a megadott mappában
find / dir / a / találni / -perm 2 típusú f -iname "* .php"
Keresés .php fájlokat létrehozott vagy módosított az elmúlt 7 napban
find / dir / a / find / -type f -iname "* .php" -mtime -7
bash script
#! / Bin / bash
cd / var / www
grep -rl "FilesMan" *
grep -rl "auth" *
grep -rl "shell" *
grep -rl "FilesMan" *
grep -rl "Self eltávolítás" *
grep -rl "phpinfo" *
grep -rl "Exec" *
grep -rl "make dir" *
grep -rl "R57" *
exit 0
egy másik:
#! / Bin / bash
grep -rl "eval (" *> log
grep -rl "rendszer (" *> log
grep -rl "phpinfo" *> log
grep -rl "debug" *> log
grep -rl "auth" *> log
grep -rl "FilesMan" *> log
grep -rl "base64_decode" *> log
aludni 1.0
echo "l."
aludni 0.3
echo "lo .."
aludni 0.3
echo "loa."
aludni 0.3
echo "terhelés".
aludni 0.3
echo "loadi."
aludni 0.3
echo "teher átrako."
aludni 0.3
echo "loading".
aludni 0.3
echo „Scan befejezése”
találni. \ (-name "* .php" \) -exec grep -Hn "[\ t] * eval (base64_decode (*).);" <> \; -exec sed -i 's / [\ t] * eval (base64_decode (*).); // g' <> \;
találni. \ (-name "* .php" \) -exec grep -Hn "[\ t] * phpinfo (*.);" <> \; -exec sed -i 's / [\ t] * phpinfo (*.); // g' <> \;
találni. \ (-name "* .php" \) -exec grep -Hn "[\ t] * FilesMan *;" <> \; -exec sed -i 's / [\ t] * FilesMan *; // g' <> \;
echo „Minden fájl frissült, ellenőrizze log”