Trang chủ / Linux / Cách quét Shell hiệu quả nhất trên Server?

Cách quét Shell hiệu quả nhất trên Server?

Cách quét Shell trong Server Linux (r57, c99shell, cgitelnet, webadmin)

Login quyền root ssh! bằng putty:

Bước 1: Chạy lệnh

touch scan.txt

Bước 2: Chạy lệnh

egrep "cgitelnet|webadmin|PHPShell|tryag|r57shell|c99shell|sniper|noexecshell|/etc/passwd|revengans" /home/*/public_html -R | cut -d: -f1 | uniq > /root/scan.txt;

Có thể thêm base64_decode vào từ khóa để check các file có nội dung base64_decode. Kết quả sẽ nhận được các file liên quan đến nội dung bị mã hóa base64, bước tiếp theo dùng lệnh

cat /root/scan.txt #để xem danh sách các file nghi ngờ
cat /path/to/file  # để xem nội dung từng file

để xem nội dung file, nếu nội dung bị mã hóa base64 sẽ phải kiểm tra thủ công các file base64 này trên trình duyệt để xác định chính xác tránh xóa nhầm.

Cách này vẫn chưa check 100%, sẽ cần thêm 1 chút kinh nghiệm để lọc sát hơn hoặc các bạn có thể linh động và sáng tạo riêng khi check.

Hoàn toàn có thể disable các file nghi ngờ nếu linh động viết lại lệnh cho nó. Một chút thông tin:

Có thể dùng lệnh mv để rename và move file nghi ngờ vào 1 thư mục. Dùng && để nối nhiều lệnh với nhau trên linux. Lập trình ra các file .pl để chạy định kỳ = Cronjob với quyền root để đảm bảo server được check định kỳ.

Giới thiệu về Văn Phương

Văn Phương
Là một người bình thường, thích làm những việc bình thường cho mình và mọi người

Bài viết khác...

10 câu lệnh để quản lý tiến trình trên Linux bằng Terminal

Terminal của Linux cung cấp một số lượng các câu lệnh khá hữu ích hỗ trợ việc ...

Bình luận