Cách quét Shell trong Server Linux (r57, c99shell, cgitelnet, webadmin)

Login quyền root ssh! bằng putty:

Bước 1: Chạy lệnh
touch scan.txt

Bước 2: Chạy lệnh

egrep “cgitelnet|webadmin|PHPShell|tryag|r57shell|c99shell|sniper|noexecshell|/etc/passwd|revengans” /home/*/public_html -R | cut -d: -f1 | uniq > /root/scan.txt

Có thể thêm base64_decode vào từ khóa để check các file có nội dung base64_decode. Kết quả sẽ nhận được các file liên quan đến nội dung bị mã hóa base64, bước tiếp theo dùng lệnh

cat /root/scan.txt #để xem danh sách các file nghi ngờ
cat /path/to/file  # để xem nội dung từng file

để xem nội dung file, nếu nội dung bị mã hóa base64 sẽ phải kiểm tra thủ công các file base64 này trên trình duyệt để xác định chính xác tránh xóa nhầm.

Cách này vẫn chưa check 100%, sẽ cần thêm 1 chút kinh nghiệm để lọc sát hơn hoặc các bạn có thể linh động và sáng tạo riêng khi check.

Hoàn toàn có thể disable các file nghi ngờ nếu linh động viết lại lệnh cho nó. Một chút thông tin:

Có thể dùng lệnh mv để rename và move file nghi ngờ vào 1 thư mục. Dùng && để nối nhiều lệnh với nhau trên linux. Lập trình ra các file .pl để chạy định kỳ = Cronjob với quyền root để đảm bảo server được check định kỳ.

Trả lời