Encontrar un script de Webshell en los directorios de inicio del usuario.

Navega tus respuestas
0

Recientemente tuvimos un problema con uno de nuestros servidores. Queremos escanear los directorios principales de nuestros Usuarios para detectar si hay en Web Shell Scripts presentes.

Hemos implementado un script para enumerar todos los tipos de archivos en el directorio public_html de los directorios de 400 usuarios, pero tenemos problemas para determinar qué script si .php o el tipo de shell es maligno.

¿Hay alguna manera de averiguar o diferenciar entre los scripts web .php de los scripts malignos? Cualquier ayuda en esto sería apreciada grandemente

    
pregunta Mustafa Mujahid 25.02.2017 - 20:08
fuente

1 respuesta

1

Hay muchas aproximaciones para LFI, RFI, Webshells, Password Grabs, Web Scanners, por lo que podría hacer lo siguiente:

  1. Comience por revisar mis registros de acceso , realmente depende del servidor web que esté usando, para esta parte puede usar diferentes herramientas, pero si desea crear su propia herramienta, tal vez desee algo para empezar, como el Logwatch de Irongeek Script que es un poco viejo pero esto te dará algunas ideas.

  2. Busque en las carpetas / directorios del sitio archivos sospechosos como las populares puertas traseras que están disponibles en Internet 

sploitpattern='r0nin|m0rtix|upl0ad|r57shell|cFaTaLisTiCz_Fx|Tukulesto|99shell|shellbot|phpshell|void.ru|phpremoteview|directmail|bash_history|.ru/|brute*force|multiviews|cwings|vandal|bitchx|eggdrop|guardservices|psybnc|dalnet|undernet|vulnscan|spymeta|raslan58|Webshell'

find ./ ( -regex '.*.php$' -o -regex '.*.cgi$' -o -regex '.*.inc$' ) -print0 | xargs -0 egrep -il "$sploitpattern" | sort >potential_exploits.txt
  1. Busque en los archivos del sitio contenido sospechoso con grep / findstr usando la herramienta de línea de comandos grep porque las aplicaciones web más vulnerables usan shell_exec, o incluyen cosas como las funciones vulnerables de PHP, por lo que search para shell_exec e inclusiones en carpetas para verificar los posibles archivos PHP que son vulnerables a RCE o inyección de comandos. 
grep -Rn 'shell_exec *(' /var/www
grep -Rn 'include *(' /var/www
grep -Rn 'require *(' /var/www
grep -Rn 'include_once *(' /var/www
grep -Rn 'require_once *(' /var/www
grep -Rn 'base64_decode *(' /var/www
    
respondido por el c1b3r 25.02.2017 - 20:39
fuente

Lea otras preguntas en las etiquetas

¿Cómo saber cuándo se está produciendo un ataque de mascarada? ¿Se pueden usar las herramientas web JSON para simplificar el protocolo OAuth2 sin comprometer la seguridad?