Tìm kiếm shell r57 và c99 trên server !

**vô danh** · 19-08-2009, 03:15 AM

Required : root ssh
log in ssh với quyền root
Thực thi câu lệnh
find the r57.php shell :

find /home -name "*".php -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq

find the c99.php shell :

find /home -name "*".php -type f -print0 | xargs -0 grep c99 | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq

Nếu muốn tìm nó dưới đuôi .txt hay gif thì change .php thành đuôi tương ứng

Chú ý :
- Bạn có thể change đường dẫn các thư mục tuỳ theo nơi bạn muốn tìm kiếm . vd : /home2 , /var/www
- Lệnh trên chỉ là in ra câu lệnh bạn phải copy dán lại chạy lại câu lệnh được in ra mới có tác dụng remove các file shell .
- Với các host báo nghi vấn shell cần vào host kiểm tra các file lạ để kiếm các loại khác
Chúc bạn quét sạch 2 con shell phổ biến này trên server

**vô danh** · 28-11-2013, 11:34 AM

Cách quét Shell trong Server Linux (r57, c99shell, cgitelnet, webadmin)

Login quyền root ssh! bằng putty:

Bước 1: Chạy lệnh
touch scan.txt

Bước 2: Chạy lệnh

egrep "cgitelnet|webadmin|PHPShell|tryag|r57shell|c99she ll|sniper|noexecshell|/etc/passwd|revengans" /home/*/public_html -R | cut -d: -f1 | uniq > /root/scan.txt

Có thể thêm base64_decode vào từ khóa để check các file có nội dung base64_decode. Kết quả sẽ nhận được các file liên quan đến nội dung bị mã hóa base64, bước tiếp theo dùng lệnh

cat /root/scan.txt #để xem danh sách các file nghi ngờ
cat /path/to/file # để xem nội dung từng file

để xem nội dung file, nếu nội dung bị mã hóa base64 sẽ phải kiểm tra thủ công các file base64 này trên trình duyệt để xác định chính xác tránh xóa nhầm.

Cách này vẫn chưa check 100%, sẽ cần thêm 1 chút kinh nghiệm để lọc sát hơn hoặc các bạn có thể linh động và sáng tạo riêng khi check.

Hoàn toàn có thể disable các file nghi ngờ nếu linh động viết lại lệnh cho nó. Một chút thông tin:

Có thể dùng lệnh mv để rename và move file nghi ngờ vào 1 thư mục. Dùng && để nối nhiều lệnh với nhau trên linux. Lập trình ra các file .pl để chạy định kỳ = Cronjob với quyền root để đảm bảo server được check định kỳ.

**vô danh** · 28-11-2013, 11:35 AM

PHP shells usually try and hide themselves using random combination’s of base64_encode, gzdeflate, etc. You’re going to get plenty of false positives using this method, by using common sense and this simple command you can weed out most popular exploits which are either standalone files or embedded into existing files.

Replace the path below with the absolute path of the directory you want to recursively scan. For example, you could recursively scan from the working directory:

Scan all public-facing web folders on a cPanel box:

grep "((eval.*(base64_decode|gzinflate))|r57|c99|sh(3(l l|11)))" /home/*/public_html/ -roE --include=*.php*

Don’t forget something as simple as ‘clamscan’ (if you’ve got ClamAV installed) can also find some PHP shells. Replace the path below with the absolute path of the directory you want to recursively scan. For example, you could scan all public HTML folders on a Cpanel server for various exploits and certain phishing sites:

nice -n 19 clamscan /home/*/public_html -r -i | grep " FOUND"

Chủ đề: Tìm kiếm shell r57 và c99 trên server !

Công cụ bài viết

Display

Tìm kiếm shell r57 và c99 trên server !

Thread Information

Users Browsing this Thread

Chủ đề tương tự

Shell script backup MySQL

Thêm box Shell/Cript

Quyền viết bài