Ricerca di uno script Webshell nelle directory home degli utenti.

0

Recentemente abbiamo riscontrato un problema con uno dei nostri server. Vogliamo analizzare le directory home degli utenti per rilevare se ci sono in Web Shell di script presenti.

Abbiamo implementato uno script per elencare tutti i tipi di file nella directory public_html di 400 in modo directory utente, ma abbiamo problemi a determinare quale script se .php o tipo di shell è maligno.

C'è un modo per scoprire o differenziare tra gli script di% web .php da script maligni. Qualsiasi aiuto su questo sarebbe molto apprezzato

    
posta Mustafa Mujahid 25.02.2017 - 20:08
fonte

1 risposta

1

Ci sono molte approssimazioni da trovare per LFI, RFI, Webshells, Password Grab, Web Scanner in modo da poter fare quanto segue:

  1. Inizia controllando i miei log di accesso , in realtà dipende da quale server web sto usando, per questa parte potresti usare diversi strumenti ma se vuoi creare il tuo strumento personale forse vuoi qualcosa da iniziare come il diario di Irongeek script che è un po 'vecchio ma questo ti darà qualche idea.

  2. Cerca nelle cartelle / directory del sito per file sospetti come le famose backdoor prontamente disponibili su Internet

sploitpattern='r0nin|m0rtix|upl0ad|r57shell|cFaTaLisTiCz_Fx|Tukulesto|99shell|shellbot|phpshell|void.ru|phpremoteview|directmail|bash_history|.ru/|brute*force|multiviews|cwings|vandal|bitchx|eggdrop|guardservices|psybnc|dalnet|undernet|vulnscan|spymeta|raslan58|Webshell'

find ./ ( -regex '.*.php$' -o -regex '.*.cgi$' -o -regex '.*.inc$' ) -print0 | xargs -0 egrep -il "$sploitpattern" | sort >potential_exploits.txt
  1. Cerca nei file del sito contenuti sospetti con grep / findstr utilizzando lo strumento della riga di comando grep perché la maggior parte delle applicazioni Web vulnerabili usano shell_exec, o include cose come le funzioni vulnerabili di PHP, quindi ricerca per shell_exec e inclusioni in cartelle per controllare i possibili file PHP che sono vulnerabili a RCE o al comando di iniezione.
grep -Rn 'shell_exec *(' /var/www
grep -Rn 'include *(' /var/www
grep -Rn 'require *(' /var/www
grep -Rn 'include_once *(' /var/www
grep -Rn 'require_once *(' /var/www
grep -Rn 'base64_decode *(' /var/www
    
risposta data 25.02.2017 - 20:39
fonte

Leggi altre domande sui tag