Mudanças entre as edições de "Localizando Webshell"

De MochilaWiki
Ir para navegaçãoIr para pesquisar
Linha 13: Linha 13:
 
find -name car.php
 
find -name car.php
 
find -name ktt.php
 
find -name ktt.php
 +
find -name \*\.tmp;
 +
find -name lmdex.php;
 +
find . -name \*\INFECTED.php;
 +
find -name sitemaps.php;
 +
find -name template_rss.php;
 +
find -name flash.php;
 +
for x in `seq 9`; do find -name w$x*.php; done
 
</source>
 
</source>
  

Edição das 19h19min de 16 de novembro de 2015

A primeira coisa que uso é procurar por nome. Esses nomes eu acho no log do apache ou nginx ou o consolidado pelo logwatch

Aos poucos vou reunir aqui a lista:

find -name 90sec.php
find -name ad_js.php
find -name av.php
find -name e7xue.php
find -name laobiao.php
find -name long.php
find -name mybak.php
find -name mytag_js.php
find -name car.php
find -name ktt.php
find -name \*\.tmp;
find -name lmdex.php;
find . -name \*\INFECTED.php;
find -name sitemaps.php;
find -name template_rss.php;
find -name flash.php;
for x in `seq 9`; do find -name w$x*.php; done

Depois que eu acho e rodo um md5sum no arquivo



Depois eu rodo um comando para criar md5sum de todos os arquivos do diretório web



Depois eu busco no arquivo com a lista de md5sum de todos os arquivos do diretório web com a lista de md5sum de arquivos webshell... o que for igual e coloco na quarentena


find . -name '*.php' | grep "wp-content/uploads"


grep -Rl --exclude-dir=dev 1Aqapkrv *