طريقة كشف الشيلات وادوات الهكرز على السيرفر بالطريقة يدوية
 

طريقة كشف الشيلات وادوات الهكرز على السيرفر بالطريقة يدوية


هذه اوامر في الشيل تساعدك في كشف الشيلات ومناطق الاختراق بنسبة 80%

هذا الشرح مفيد لاصحاب شركات الاستضافة

لكشف الملفات المسحوبة بعض الاوقات يقوم بتطبيق ثغرة سحب ملفات هذا طريقة لكشفها :

find /home/*/public_html/ -name '*' -type l
find /home/*/public_html/ -type l -name '*'
لكشف ملفات اعدادات php.ini قد يطبيق اوامر تعطيل السيف مود وامور معينة لتسهيل الاختراق
find /home/*/public_html/ -name php.ini

find /home/*/public_html/ -name 'error_log' -print | xargs grep -i -l 'has been disabled for security reasons'
find /home/*/public_html/ -name '.htaccess' -print | xargs grep -i -l ''
find /home/*/public_html/ -name '.htaccess' -print | xargs grep -i -l 'AddHandler'
find /home/*/public_html/ -name '.htaccess' -print | xargs grep -i -l 'AddType application'
find /home/*/public_html/ -name '.htaccess' -print | xargs grep -i -l 'php_flag'


find /home/*/public_html/ -name '.htaccess' -print | xargs grep -i -l 'suPHP_ConfigPath'
find /home/*/public_html/ -name '.htaccess' -print | xargs grep -i -l 'symlinks'
find /home/*/public_html/cgi-bin/* -name "*"
find /home/*/public_html/* -name "*.pl"
grep "((eval.*(base64_decode|gzinflate))|r57|c99|sh(3(l l|11) ))" /home/*/public_html/ -roE --include=*.php*
find /home/*/public_html/ -name '*.php' | xargs grep 'eval(gzinflate(base64_decode(' >> /root/result.txt
النتيجة سوف تكون داخل ملف /root/result.txt

افتح الملف بتشوف النتيجة


لو في امر من الاوامر ظهر لك النتيجة كثيرة جدا ضيف في نهاية الامر مايلي :
>> /root/result.txt
مع تغير اسم الملف



مع تغير واضافة كلمات البحث داخل الامر مثل base64_decode
grep -i blacklist /var/log/messages
grep -i has been disabled /var/log/messages
grep -i attacker /var/log/messages
grep -i has been disabled /usr/local/apache/logs/error_log
grep -i attacker /usr/local/apache/logs/error_log


منقول للفائدة