شرح فحص السرفر و ايجاد الشل و الملفات الملغمة

0
السلام عليكم و رحمة الله و بركاتة , هذا درس توضيح البحث و ايجاد الشلات الموجوده في داخل السرفر , من خلال الشل ssh.
للبحث عن الشلات الضارة داخل السيرفر تابع الخطوات كما هي موضحه بالتفصيل.
اولاً يجب ان تعرف ان هناك الكثير من الشيلات المشفرة و التي قد تعمل على السرفر بدون علم صاحب السرفر.  سنبدا بالبحث عنها.
اكتب الامر

find /home/*/public_html -name “*.php” -print | xargs egrep -l ‘ base64_’ >> /root/shell-result.txt

 

عند كتابتك لهذا الامر , سوف تنضاف النتائج للشلات المشفرة في ملف shell-result.txt

الان بعد ما تم جمع الملفات المشفة التي يحتمل ان تكون شلات افتح هذا الملف لعرض الشيلات المشفرة

cat /root/shell-result.txt

 

ثانياً كشف الشيلات من خلال الدوالات التي يستخدمها الهكر لتلغيم المواقع و استخدامها بملفات الاختراق

find /home/*/public_html -name ‘error_log’ -print | xargs grep -i -l ‘has been disabled for security reasons’

 

للبحث عن ملفات البيرل

find /home/*/public_html -name “*.pl”

سوف يظهر لك ملفات البيرل بالغالب تكون ملفات هكر لأختراق السرفرات.

 

الان, سنذهب للملفات التي قد تكون من المحتمل فيها ملفات الشل. لهذا سوف نقوم الان بالبحث عن المجلدات التي تملك تصريح 777

طبق هذا الامر

find /home/*/ -type d -perm 0777

ستظهر لك قائمة بالملجدات التي تحمل تصريح 777, تفحصها بنفسك و شاهد اذا وجدت ملفات ذات امتداد php

ينصح بتغيير التصريح الى 744 , او 755 اذا كان يتوجب عليك ان تجعل التصريح 777 , فأنك تحتاج لأن تعدل على ملف .htaccess من اجل ان يتم منع اي ملف ضار او شل , من ان يتم رفعه.

 

الان للبحث عن ملفات php.ini التي يتم عملها لتخطي الحماية بالسرفر

طبق الامر هذا و سوف يظهر لك الملفات التي تحمل اسم php.ini , يجب عليك ان تتأكد من ان هناك هكر او مخترق قام بأستخدامها.

find /home/*/public_html -name “php.ini”

تعليقات
انتظر...