¿Muestran estas expresiones regulares que fui hackeado?

8

¿Qué significan estos comandos regex ? Los encontré cuando ejecuté el comando de historial:

grep --include=\*.php -rnw . -e "update.creditcard"
grep --include=\*.php -rnw . -e "e41e"
grep --include=\*.php -rnw . -e "nobugs.com"
grep --include=\*.{php|js} -rnw . -e "nobugs.com"
grep --include=\*.[php|js] -rnw . -e "update.creditcard|nobugs.com|slimmingworldcyprus.com|chr\("
grep --include=\*.php -rnw . -e "update.creditcard|nobugs.com|slimmingworldcyprus.com|chr\("
grep --include=\*.php -rnw . -e "update.creditcard|nobugs.com|slimmingworldcyprus.com"
grep --include=\*.js -rnw . -e "update.creditcard|nobugs.com|slimmingworldcyprus.com"

Noté que en mi sitio web faltaban muchas páginas, así que fui al servidor y encontré esos comandos usando history Sin embargo, no tengo ni idea de lo que hacen.

Solo yo y otra persona tienen acceso de administrador al servidor, y ninguno de nosotros reconoce estos comandos.

    
pregunta OldCastle 27.07.2015 - 12:11
fuente

2 respuestas

19

Los comandos en sí mismos no parecen ser particularmente preocupantes, son unas pocas búsquedas aleatorias para subcadenas particulares.

Sin embargo, si tu historial de shell tiene entradas inexplicables, es una señal de que has sido hackeado .

En este punto, lo que recomendaría es revisar sus registros SSH para averiguar cuándo ocurrió esto (y de qué IP) y proteger su servidor , probablemente reinstalando el sistema operativo, restaurando su contenido desde una copia de seguridad y luego conectando cualquier agujero que haya llevado al compromiso en primer lugar (si puede identificarlo).

Comprobando los registros de SSH

En CentOS, los registros de SSH se escriben en /var/log/secure de forma predeterminada . En Ubuntu, se escriben en /var/log/auth.log de forma predeterminada.

Aquí hay un comando que buscará entradas de registro de SSH en cualquiera de esas ubicaciones:

grep -i 'ssh' /var/log/secure /var/log/auth.log

probablemente estará interesado en las entradas de registro más recientes, que estarán al final de la salida de ese comando.

Tenga en cuenta que es posible que no haya entradas en los registros que indiquen un robo; Esto podría deberse a que el atacante borró los registros de SSH, pero no borró el historial de shell.

Algunos comandos que serán útiles para la investigación del registro son grep , tail y less . También recuerde que puede canalizar la salida de un comando a otro. Consulte las páginas de manual o el Unix & Linux Stack Exchange si necesita más ayuda con herramientas de línea de comandos como esas.

    
respondido por el Ethan Kaminski 27.07.2015 - 14:06
fuente
16

Son varias búsquedas de texto. La primera busca update.creditcard (el punto es un comodín de un solo carácter) en todas las subcarpetas. (Más detalles sobre grep -rnw en StackOverflow . )

Y si usted u otro administrador no ejecutaron estos comandos, estaría muy preocupado y borraría y reinstalaría ese servidor.

Las búsquedas en sí mismas son inofensivas. Pero si alguien no autorizado tuvo acceso, entonces no se sabe qué más podría haber hecho.

    
respondido por el StackzOfZtuff 27.07.2015 - 12:35
fuente

Lea otras preguntas en las etiquetas