Examinando os logs de apache atopo uns erros 404 a un ficheiro «r57.php». Polo visto este é un coñecido script PHP ruso que compromete o servidor web permitindo o upload de ficheiros, descarga de ficheiros, spam relay, control das SQL, ...
Para eliminar este shellScript dun servidor infectado pódese executar os seguintes comandos:
find /var/www/ -name "*.php" -type f -print0 | \ xargs -0 grep r57 | uniq -c | sort -u | \ cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq
Tamén se pode agochar baixo extensión gif ou txt (entre outras). Outro shellScript coñecido é c99.php, podendo eliminalo co seguinte comando:
find /var/www/ -name "*.php" -type f -print0 | \ xargs -0 grep c99 | uniq -c | sort -u | \ cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq
Última actualización | 2012-08-03 2:04 AM (Europe/Madrid) |
Data de creación | 2011-04-02 12:35 AM (Europe/Madrid) |
Eliminar os exploits r57 e c99 en servidores LAMP | |
bash scripting seguridade |