Malware site scan iz konzole

7 naročnikov

Kolegu pomagam ugotoviti od kod vdori na stran oz. preko katere skripte napadalec dostopa do strani. Iskal sem po datumih, kateri fajli so bili nazadnje kreirani/spremenjeni, brez uspeha. Očitno je backdoor gor že lep čas.

Kateri scanner bi priporočali, da bi ga zagnal iz command lina in lociral vse sumljive fajle? Obstaja kaj podobnega kot antivirus za windows?

Hvala

edit: napadalec ima dostop do baze, kar je tudi dokazal

Trenutno poganjam maldet, da vidmo...

Pred kratkim sem čistil en strežnik z maldet in je precej nezanesljiva zadeva. Nekatere datoteke je našel, spet drugih (z isto kodo okuženih) ne.

Našel crap: https://github.com/nikicat/web-malware-collection/blob/master/Backdoors/PHP/404.php

Zadeva stara že več kot leto...

Prva sled, ki sem jo še našel v logih je, da je bil ta file naložen prek FTP-ja iz kolegovega IP-ja. Sklepam, da je šlo za okužen PC ali pa je zadeva še starejša in je samo iz kakih backupov zares sam nalagal na server.

Ma kdo kakšno idejo, kaj bi lahko vstavil v to skripto oz. kako bi jo spremenil, da bi dobil pravi ip napadalca? Ali kakšna phising finta mogoče... je kdo kaj podobnega že kdaj poizkušal? :)

Kdorkoli je napadal in bos dobil IP, je tale IP iz kake pohekane masine. Noben ni tak idiot, da bo iz localhosta hekal.

Kako si pa našel ta file, ročno ali preko kakšnega toola?

Enega-prvega sem našel ročno, drugega enakega z drgim filenamom je pa našel maldet

@krejzi: ip pohekane mašine sem itak že dobil, hotel sem kakšno bolj hollywoodsko finto naredit :)

blackmamba:
@krejzi: ip pohekane mašine sem itak že dobil, hotel sem kakšno bolj hollywoodsko finto naredit :)

Če misliš v stilu "jebse, pohakan si bil nazaj" lahko to šele podžge hekerskega nadobudneža. Potem se ga ne rešiš več.

To so v 99,99% robotki in ne osebe.

Research,Patch,Secure and move on