c99,r57 ve türevi dosyaları serverda bulmak

Öncelikle serverdaki tüm dosyaların tutulduğu veritabanını güncelleyelim.

Komut : locate -u

İşlem bir kaç dakika sürebilir.

Ardından basit yöntemle dosya ismine göre arama yapılabilir.

locate c99.php
locate r57.php

vb gibi. Bu dosyalar serverda varsa hangi host altında ise yerini size gösterir.

Ama artık çocuklar dosyaların isimlerini değiştirip hosta yüklüyorlar.O halde dosya isminden aramak yerine dosyanın içindeki bazı terimleri aramak daha akıllıca olur.

Mesela c99.php dosyasının içinde c99 terimi geçiyor.

Komut : find /var/www/vhosts/ -type f -name "*.php" | xargs grep -l 'c99'

şeklinde serverda arama yaptırırsak içinde c99 terimi geçen php dosyalarını bize verir.c99 aynı zamanda renk kodudur.Bunu da dikkate alarak dosyalardaki farklı terimleri aratabilirsiniz.
Örneğin : exec,shell_exec,passthru,popen vb gibi.
Örnekler aşağıda ;
Komut : find /var/www/vhosts/ -type f -name "*.php" | xargs grep -l 'exec'
Komut : find /var/www/vhosts/ -type f -name "*.php" | xargs grep -l 'shell_exec'
Komut : find /var/www/vhosts/ -type f -name "*.php" | xargs grep -l 'passthru'
Komut : find /var/www/vhosts/ -type f -name "*.php" | xargs grep -l 'popen'

Daha sayılabilecek bir çok fonksiyon adı mevcut.Bu tür fonksiyonlar genelde serverda yasaklıdır zaten.Ama c99 vb dosyalarda bu fonksiyonlar mevcuttur.Artı olarak farklı fonksiyonlarda vardır.Dosyaları inceleyerek arama yöntemlerinizi artırabilirsiniz.

Not 1 : komutta "*.php" olarak belirtilen yeri ".txt" olarak değiştirip te arama yapabilirsiniz.Txt olarakta hosta sokulabiliyor bu dosyalar.

Not 2 : /var/www/vhosts/ arama yapılacak dizindir.Bunu kendi sunucunuza göre düzenleyin.Tüm domainlerin olduğu dizini ayarlayın.

Not 3 : Bulunan dosya yada dosyalar kesin hack amaçlı anlamını çıkarmayın hemen.Bu tür fonksiyonları çok nadiren de olsa bazı yazılımlar kullanır.Bulunan dosyaların kaynak kodlarını inceleyin sonra karar verin.


Serverımda zaten yasaklı fonksiyon bunlar.Arama yapmaya gerek yok demeyin.Ekstra bir fonksiyon canınızı yakabilir.En azından kimin yaramazlık yaptığını bulabilirsiniz serverda..

Az önce forumu gezerken bu tür sorunu olan 2 kişi gördüm.Biraz arama yapınca da böyle bir konu bulamadım. Umarım işini görür ihtiyaç duyanların.

whereis c99.php / txt gibi komutlarla da bulabilirsiniz fakat her çıkan dosya shell değildir.

__________________
Be the change you want to see in the world.

benim ftpde c99.php dosyası vardı,sildim...
oraya nasıl girmiş olabilir ?
reselleri aldıgım firma hostgator...

banada biri bu konuda yardımcı olsun

Ftp şifrenizi bilen biri yüklemiş olabilir , kullandığınız scriptte rfi açığı olabilir, serverdaki başka sitelerde açık varsa o siteler aracılığı ile yüklemiş olabilirler ...