PHP ile TXT Dosyaları İçinde Gizli r57 ve C99 Kabuklar bul
1500 gün önce - Güvenlik
Kötü niyetli davetsiz misafirlerin bir web sunucusu güvenliğini, ünlü bir Rus PHP script, r57shell takip edecek mükemmel bir şans var. R57shell PHP script saldırgan, yetenekleri de dahil olmak üzere, ancak bunlarla sınırlı olmamak bir dizi verir: dosya indirme, dosya yükleme, arka kapılar oluşturarak, bir spam röle kurma, dövme e-posta, yakalanma riskini azaltmak için bir bağlantı zıplatma, ve hatta SQL veritabanları kontrol altına alarak. Tüm bu fonksiyonlar, kullanımı kolay bir web arayüzü üzerinden kolayca kullanılabilir hale gelir, ancak şimdi geri mücadele edebilirsiniz.
Bu komut shell içerikli dosyaları görüntüler:
/home/ "*" php-type f-print0 | xargs -0 grep r57 | uniq-c | sort-u | cut-d ":"-f1 | awk '{print "rm-rf uniq | '"$ 2}
txt şeklindeki shelleri görüntüler:
/home/-name "*" txt-type f-print0 | xargs -0 grep r57 | uniq-c | sort-u | cut-d ":"-f1 | awk '{print "rm-rf uniq | '"$ 2}
gif dosyası şeklindeki shelleri görüntüler:
/home/-name "*" gif-type f-print0 | xargs -0 grep r57 | uniq-c | sort-u | cut-d ":"-f1 | awk '{rm-rf print " uniq | '"$ 2}
komutların bu bölümü /home dizini sunucunuza göre değiştirilecektir
/home/
-Name "*" php-type f-print0
Bu bölümde dosya tipi belirlenir ve diğerleri gözardı edilir.
-----------------------------------------------------------------------------------------------------------------
| Xargs -0 grep r57
Boru simgesiyle (|) ilk komut (PHP dosyaları aranır) sonuçları almak ve ikinci komuta xargs iletmekten Linux söyler. Bu noktada, tüm dosyalar r57, herhangi bir söz, sadece dosya adları değil, ama dosyaların içindeki gerçek içeriği aranır.
| Uniq-c | sort-u
uniq görüntüleyen yinelenen sonuçları önleyecektir. Komutu tekrarlanır mesajları ile konsol sel, birden çok örneğini potansiyel yüzlerce yerine tek bir söz, tek bir dosya tespit edildiğinde bilecek kadar akıllıdır. -C parametresi kombine ardışık satırları saymak için uniq söyler. Tür sırasız sonuçları almak ve düzenli moda bazı tip gösterecektir.
| Cut-d ":"-f1
kesim sonuçları gösteren r57 içeren bir kod satırı önleyecektir. Sadece basit bir dosya adı veya adları söz ve kaç olaylar çıktı. Niyetleri kötü niyetli dosyaları kaldırmak için eğer gerçek kodunu görüntülemek için gerek yoktur.
| Awk '{print "rm-rf" $ 2}'
awk, başlı başına bir programlama dili ile çok güçlü bir komut çok faydalı kullanır. Bu komutta, awk rm-rf eklenen dosya yolu ve dosya adını yazdırmak için talimat. İşte bir örnek çıktı:
rm-rf / var/www/users/domain.com/images/uploads/r57shell.php
rm-rf soru sormadan dosyaları silmek için kullanılır. "Silmek istediğinizden emin ..." -rf anahtarı kullanırken, eğer gerekli özen gösterilmeden kullanılamaz atlanır, o yüzden dikkatli olun, çok yıkıcı . Baskı kısmı Bildirimi - Bu komut yalnızca yapılmazsa, baskılı gelir. Bir kez bulunan tüm dosyaları kötü amaçlı olduğunu teyit ettik, bir dosya halinde kolayca aptal, dosya çalıştırılabilir ve tek tek dosyaları tek tek elle silmek yerine tek bir veba silmek vurdu.
Bir başka popüler aracı c99shell, ben de arıyor. Sadece üç karakter değiştirin:
/ var / www /-name "*" php-type f-print0 | xargs -0 grep C99 | uniq-c | sort-u | cut-d ":"-f1 | awk '{print "rm-rf uniq | '"$ 2}
