Sunucunuzda r57 shelleri aratın

sunucuda shell aratmak için en basit yöntemdir. (komple çözüm değildir.)

cpanel kurulu olanlar için:

php olanlar

find /home  -name "*".php  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

txt olanlar

find /home  -name "*".txt  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

plesk kurulu olanlar için:



php olanlar

find /var/www/  -name "*".php  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

txt olanlar

find /var/www/  -name "*".txt  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

Teşekkür ederim.
Diğer shelleri nasıl aratırız onlarıda yazarsan sevinirim.

Shared hosting ya da reseller kullanılan hostinglerde,Diğer sunucuya atılmış bir shell ile 777 yazma izinli dosyalarımıza ulaşılabiliyor mu? Shared hostingte böyle oluyor bildiğim ama öğrenmek istediğim resellerda..

isimleri farklıysa ne olacak peki ?

elbetteki tam cozum değil.

isimleri farklı olabilir.
base64, js, ioncube vs ile şifrelenmiş olabilir.

bu sadece en temel duzeyde tarama için gerekli bi şey.

genel olarak eval(base64_decode diye kodlanarak başlayan dosyalar. bunu arattınca sıradan dosyalarda çıkabilir kontrol etmen lazım. ayrıca chmodu 777 olan her klasöre erişilmesi zor. scripten kaynaklanan bir açığında olması gerekiyor. bende çok oldu ama hiç bir zaman wpnin upload klasörüne shell dosyası atamadılar.

Basitçe cpanelden aldığınız bir full backupu antivirüsle taratırsanız sheller ortaya dökülecektir.Şifrelenmiş shellere karşı etkili mi bilmiyorum ama antivirüsler kolayca yakalıyor shelleri.

şifrelenmiş dosyaları yakalayamıyor.
tecrübeyle sabittir

Avira free edition bu gün bende yakaladı bir tane. js olarak şifrelenmişti. Wallpaper siteme girmiş.