Öncelikle sunucunuza maldet kurmanızı öneririm.Kurulumu hakkında dökümanlar R10 üzerindede mevcut.Birde clamav cpanel ile geliyor zaten kullanmanız yeterlidir.Şimdi bu yazılımların bulamadıklarını biz nasıl buluruz ?
İşte Kodlar
Aşağıda şifrelenmiş bazı shell yada toplu mail yazılımlarında zamanla karşılaştığımız şifreli kodların başlangıç değerlerini grep komutuyla aratıyoruz.Bu kodları sizde tecrübe edindikçe ekleyebilirsiniz.Aşağıda verdiğim şekilde tüm sunucuda arama yapar.
grep /home/*/public_html/* '((eval.*(base64_decode|gzinflate|\$_))|\$[0O]{4,}|FilesMan|JGF1dGhfc|IIIl|die\(PHP_OS|posix_getpwuid|Array\(base64_decode|document\.write\("\\u00|sh(3(ll|11)))' . -lroE --include=*.php*Eğer Sadece Kullanıcıda aratmak isterseniz aşağıdaki kod yeterli olacaktır.Biz genelde müşterilerimizde bir sorun olduğunda maldet bulamazsa bu şekilde aratıyoruz.grep /home/kullanıcı/public_html/* '((eval.*(base64_decode|gzinflate|\$_))|\$[0O]{4,}|FilesMan|JGF1dGhfc|IIIl|die\(PHP_OS|posix_getpwuid|Array\(base64_decode|document\.write\("\\u00|sh(3(ll|11)))' . -lroE --include=*.php*Diğer Bir Yöntem iseClamav aracılığı ile exploit tarama yaptırmaktır.Onun SSH kodu ise;
nice -n 19 clamscan /home/*/public_html -r -i | grep " FOUND"Sadece Bulma işlemi yapar!
SİLME KOMUTU KESİNLİKLE VERMEYİNİZ !
Çünkü bazen müşterinize ait zararsız şifreli kodları bulabilmekte silerseniz veri kaybına neden olabilirsiniz.
Bulduklarını manuel incelerseniz zararlı kodmu ne olduğunu görürsünüz tabi buda bir uzmanlık gerektirir.
Saygılarımla
EkonomikHost Bilişim ve İnternet Hizmetleri
Gürkan ERSAN