Mudanças entre as edições de "Localizando Webshell"
De MochilaWiki
Ir para navegaçãoIr para pesquisar (Criou página com 'A primeira coisa que uso é procurar por nome. Esses nomes eu acho no log do apache ou nginx ou o consolidado pelo logwatch Aos poucos vou reunir aqui a lista: <source lang="...') |
|||
Linha 27: | Linha 27: | ||
Depois eu busco no arquivo com a lista de md5sum de todos os arquivos do diretório web com a lista de md5sum de arquivos webshell... o que for igual e coloco na quarentena | Depois eu busco no arquivo com a lista de md5sum de todos os arquivos do diretório web com a lista de md5sum de arquivos webshell... o que for igual e coloco na quarentena | ||
+ | |||
+ | |||
+ | find . -name '*.php' | grep "wp-content/uploads" | ||
+ | |||
+ | |||
+ | grep -Rl --exclude-dir=dev 1Aqapkrv * |
Edição das 18h59min de 16 de novembro de 2015
A primeira coisa que uso é procurar por nome. Esses nomes eu acho no log do apache ou nginx ou o consolidado pelo logwatch
Aos poucos vou reunir aqui a lista:
find -name 90sec.php
find -name ad_js.php
find -name av.php
find -name e7xue.php
find -name laobiao.php
find -name long.php
find -name mybak.php
find -name mytag_js.php
find -name car.php
find -name ktt.php
Depois que eu acho e rodo um md5sum no arquivo
Depois eu rodo um comando para criar md5sum de todos os arquivos do diretório web
Depois eu busco no arquivo com a lista de md5sum de todos os arquivos do diretório web com a lista de md5sum de arquivos webshell... o que for igual e coloco na quarentena
find . -name '*.php' | grep "wp-content/uploads"
grep -Rl --exclude-dir=dev 1Aqapkrv *