Как найти скрипт на сервере

Как найти скрипт на сервере

Находим shell скрипты на сервере с помощью SSH
  • Добавил PeOpLe
  • Добавлен в 12.01.2017
  • Просмотров 4,631
  • Смотреть другие уроки в категории Linux сервер

HMARA.IO VPS

Проблема безопасности сайтов будет актуальна всегда. Все чаще бывают случаи когда сайты взламывают, загружая в файлы сайта вредоносный код. Такой код называют Shell, это некая оболочка, способная выполнять действия злоумышленника через php файл сайта.

Впрочем, если вы сознательно открыли этот урок, то вам нечего объяснять. Скажу только, что найти такие файлы нереально, если сайт большой. Единственным вариантом остается выкачивать все к себе и программой или руками искать вредоносный код. А можно воспользоваться SSH.

Для начала нужно зайти по SSH на ваш сервер, сделать это можно программой Putty или через Shell-клиент в ISP менеджере. Ввести логин, пароль. После этого вводить команды:

1. Эта команда ищет слово “eval” во всех php файлах в заданной директории. 

find /var/www/ -type f -iname "*.php" -exec grep -Him1 'eval' {} ;

2. Эта команда ищет слово “eval” во всех php файлах в заданной директории с правами 777. 

find /var/www/ -perm 2 -type f -iname "*.php" -exec grep -Him1 'eval' {} ;

3. Эта команда ищет все php файлы в заданной директории. 

find /var/www/ -perm 2 -type f -iname "*.php"

4. Эта команда ищет php файлы в директории, которые были созданы или изменены за последние 7 дней. 

find /var/www/ -type f -iname "*.php" -mtime -7

Потом, естественно, открываем эти файлы и удаляем код или вовсе сам файл.

Помните, удаляя файл вы не устраняете причину проникновения на ваш сайт, после чистки обязательно почитайте новости обновлений CMS, плагинов, которые устанавливали.

Поделись с друзьями:

shell скрипты, удалить shell на сайте, найти shell через ssh

0 комментарии

Пожалуйста, авторизуйтесь для добавления комментария.

Пока нет комментариев.

Источник

9 ноября 2011 г.

9 ноября 2011 г.

Идеально защищенных сайтов не бывает, и иногда случается так, что ваш сайт может стать жертвой злоумышленников.

Одной из неприятностей может стать присутствие так называемого шелла (shell – оболочка) на сервере Вашего сайта. Шеллы представляют собой зловредные скрипты, которые каким-то образом оказались на сервере и могут запускаться на исполнение. В этом случае плохой человек может получить некоторые возможности, например, изменение файлов, загрузка собственных скриптов и соответственно возможность их исполнения, отправка спама и прочее, и прочее. Случается это по разным причинам, но как правило вследствие “дырявости” (читай “уязвимости”) CMS или хостинга.

Итак, если у вашего хостинга есть возможность доступа по SSH, то есть способ, который заключается в простом поиске вредоносных скриптов. Запускаем SSH-клиент, например, putty, авторизуемся.

Опишу несколько простых примеров, от которых потом можно отталкиваться.

Поиск текста “eval” во всех файлах с расширением .php с заданной директории:

find /dir/to/find/ -type f -iname "*.php" -exec grep -Him1 'eval' {} ;

Поиск “eval” среди файлов, у которых выставлены права 777

find /dir/to/find/ -perm 2 -type f -iname "*.php" -exec grep -Him1 'eval' {} ;

Простой поиск php-скриптов в заданной папке

find /dir/to/find/ -perm 2 -type f -iname "*.php"

Поиск .php файлов, созданных или измененных за последние 7 дней, мне всегда помогала именно она:

find /dir/to/find/ -type f -iname "*.php" -mtime -7

Далее пробегаемся по списку файлов, смотрим их содержимое и, если найден shell удаляем его.

Не стоит пренебрегать безопасностью своего сайта. Удачи.

Автор: Артур Минимулин ⚫ 9 ноября 2011 г.Тэги: Хостинг, Безопасность

Источник

April 26 2014, 10:46

Category:

  • IT
  • Cancel

Одной из неприятностей может стать присутствие так называемого шелла (shell – оболочка) на сервере Вашего сайта. Шеллы представляют собой зловредные скрипты, которые каким-то образом оказались на сервере и могут запускаться на исполнение. В этом случае плохой человек может получить некоторые возможности, например, изменение файлов, загрузка собственных скриптов и соответственно возможность их исполнения, отправка спама и прочее, и прочее. Случается это по разным причинам, но как правило вследствие “дырявости” (читай “уязвимости”) CMS или хостинга.

Итак, если у вашего хостинга есть возможность доступа по SSH, то есть способ, который заключается в простом поиске вредоносных скриптов. Запускаем SSH-клиент, например, putty, авторизуемся.

Опишу несколько простых примеров, от которых потом можно отталкиваться.

Поиск текста “eval” во всех файлах с расширением .php с заданной директории:
find /dir/to/find/ -type f -iname “*.php” -exec grep -Him1 ‘eval’ {} ;

Поиск “eval” среди файлов, у которых выставлены права 777
find /dir/to/find/ -perm 2 -type f -iname “*.php” -exec grep -Him1 ‘eval’ {} ;

Простой поиск php-скриптов в заданной папке
find /dir/to/find/ -perm 2 -type f -iname “*.php”

Поиск .php файлов, созданных или измененных за последние 7 дней, мне всегда помогала именно она:
find /dir/to/find/ -type f -iname “*.php” -mtime -7

Далее пробегаемся по списку файлов, смотрим их содержимое и, если найден shell удаляем его.

Источник

Ivseti

Ivseti

@Ivseti

Фронтенд HTML, CSS и немного JS с PHP

ssh

  • SSH

Есть команда: 

find ./ -type f -exec grep -i -H "<script>123</script>"  {} ;

Какой командой можно найти и удалить скрипт со всех файлов или с определенной папки ?


  • Вопрос задан

    04 нояб. 2022

  • 71 просмотр


Комментировать


Решения вопроса 1

AUser0

@AUser0

Чем больше знаю, тем лучше понимаю, как мало знаю. 

find ./ -type f -exec sed -i "s@<script>123</script>@@g"  {} ;

  • Ivseti

  • Ivseti, это то, чего вы просили. См. man sed.

Пригласить эксперта


Похожие вопросы

  • Показать ещё
    Загружается…

19 мая 2023, в 16:10

8000 руб./за проект

19 мая 2023, в 16:10

500 руб./за проект

19 мая 2023, в 16:08

500 руб./за проект

Минуточку внимания

Источник


1

5

Всем доброго дня!
Имеется сервер на Centos 6, на нем в придачу к прочему стоит сайт на htppd. Недавно через сайт взломали сервер и видать закинули какой то вредоносный скрипт. Исходящий трафик по жесткому засирал канал и ДДосил на определенный IP. Через Iptables я запретил исходящий трафик на этот IP и сеть поднялась. Но остались процессы которые до сих пор пытаются ДДосить, в итоге используют ресурсы сервера.
Так вот вопрос, как найти этот скрипт? Куда смотреть? Что и в каких логах искать? Возможно ли по PID’у процесса определить откуда и какой скрипт выполняется?

Вот эти процессы в top:

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

3674 apache 20 0 31992 3148 552 R 100.0 0.0 705:44.29 perl

7247 apache 20 0 31816 3512 1040 R 99.5 0.0 3293:38 perl

7345 apache 20 0 31816 3528 1064 R 99.5 0.0 2421:54 perl

28622 apache 20 0 31816 3520 1048 R 97.6 0.0 13687:42 perl

7329 apache 20 0 31816 3524 1064 R 89.8 0.0 2117:39 perl

Источник

Добавить комментарий