Linux sunucu üzerinde R57 Aramak
Yazar: SBayir Tarih: Kasım 8, 2010 · Yorum Yap , Kategori: Linux
Etiketler: c99, cpanel safe mod, hacked server, hacklenen sunucular, joomla safe mod, plesk safe mod, r57, safe mod kapalı olursa ne olur, safe mod nedir, seyf mod, shell aramak, siteye index atmak
Son zamanlarda 13-15 yaş arası HEKIR gençlerin sitelere index atma çabası böyle bir şey bulma ihtiyacını doğurdu. Linux sunucular üzerinde bu tarz girişimleri rutin olarak kontrol ediyorum. Bu kadar çabaya gerek yok aslında ama bazende önemsemek gerekiyor.
Bu arkadaşların HEKID By AhmetHüseyinCabbari şeklinde index atmaları nasıl gelişiyor özet geçelim.
Sunucu üzerinde Safe Mod kapalı olması durumunda bir takım fonksiyonların kullanılabilirliği açılıyor. ( Açık olursa da Joomla gibi scriptlerin önerilen ayarları uyarı veriyor. ) disable_functions kullanılarak bu fonksiyonlar kapatılabilse de, fonksiyon listesini oturup tek tek çıkartmak uzun bir süreç. Bu durum farklı bir makale konusu olup, başlığımıza dönelim ve sunucu üzerinde r57 c99 gibi shell scriptler nasıl aranır bakalım ;
Plesk için ;
find /var/www/vhosts/ -type f -name “*.php” | xargs grep -l ‘exec’
find /var/www/vhosts/ -type f -name “*.php” | xargs grep -l ‘shell_exec’
find /var/www/vhosts/ -type f -name “*.php” | xargs grep -l ‘passthru’
find /var/www/vhosts/ -type f -name “*.php” | xargs grep -l ‘popen’
cPanel için ;
find /home/ -type f -name “*.php” | xargs grep -l ‘exec’
find /home/ -type f -name “*.php” | xargs grep -l ‘shell_exec’
find /home/ -type f -name “*.php” | xargs grep -l ‘passthru’
find /home/ -type f -name “*.php” | xargs grep -l ‘popen’
Fonksiyonları kullanmaya çalışan dosyaların adını listeler. Bazen masum yazılımlarda görüntülenebilir ama bu HEKIR arkadaşlar genelde a.php b.php gibi dosyalarda çalıştırıyor. Bu durumda bulmak zor olmuyor.
Bu HEKIR arkadaşlara ilerleyen zamanlarda daha uzun yazılar yazacağım söz, söz zamanım olduğunda.
