О том, как найти шеллы (shell) на своем сервере, сайте с помощью SSH. Возвращаем контроль над сайтом.
деально защищенных сайтов не бывает, и иногда случается так, что ваш сайтможет стать жертвой злоумышленников.
Одной из неприятностей может стать присутствие так называемого шелла (shell — оболочка) на сервере Вашего сайта. Шеллы представляют собой зловредные скрипты, которые каким-то образом оказались на сервере и могут запускаться на исполнение. В этом случае плохой человек может получить некоторые возможности, например, изменение файлов, загрузка собственных скриптов и соответственно возможность их исполнения, отправка спама и прочее, и прочее. Случается это по разным причинам, но как правило вследствие «дырявости» (читай «уязвимости») CMS или хостинга.
Итак, если у вашего хостинга есть возможность доступа по SSH, то есть способ, который заключается в простом поиске вредоносных скриптов. Запускаем SSH-клиент, например, putty, авторизуемся.
Опишу несколько простых примеров, от которых потом можно отталкиваться:
Поиск текста «eval» во всех файлах с расширением .php с заданной директории:
find /dir/to/find/ -type f -iname "*.php" -exec grep -Him1 'eval' {} \;
Поиск «eval» среди файлов, у которых выставлены права 777
find /dir/to/find/ -perm 2 -type f -iname "*.php" -exec grep -Him1 'eval' {} \;
Простой поиск php-скриптов в заданной папке
find /dir/to/find/ -perm 2 -type f -iname "*.php"
Поиск .php файлов, созданных или измененных за последние 7 дней, мне всегда помогала именно она:
find /dir/to/find/ -type f -iname "*.php" -mtime -7
Далее пробегаемся по списку файлов, смотрим их содержимое и, если найден shell удаляем его.
Не стоит пренебрегать безопасностью своего сайта. Удачи.
http://mr-stiher.ru
Добавить комментарий