1. Заглянуть в файл .htaccess — в нем могут быть добавлены перенаправления на другие сайты, распространяющие вирус.
2. Ищем недавно измененные файлы :
2. Ищем недавно измененные файлы :
# find ./public_html -mtime -3d # find ./public_html -mtime -10h
3. Поиск кодировки base64
# find ./ -name '*.php' | xargs grep -E '[0-9a-zA-Z/]{80}'
Убьем сразу двух зайцев, объединив поиск .php и .html файлов. По умолчанию все аргументы соединены с помощью логического и (опция '-a'). Если необходимо объединить несколько аргументов логическим или — используем опцию '-o'.
# find ./ \( -name '*.php' -o -name '*.html' \)| xargs grep -E '[0-9a-zA-Z/]{80}'
4. Далее, если известно время - смотрим логи: #grep time.
Некоторые хитрецы делают так:
<?php
ob_start();
include('./exploit.jpg');
ob_end_clean();
?>
или прячут шеллы в JPG EXIF - http://xakep.ru/post/60928/default.aspНо они даже не подозревают, что все это находится банальным грепом.
Комментариев нет:
Отправить комментарий