Поиск вредоносного кода на хостинг сервере

Поиск вредоносного кода на хостинг сервере | neur0n.kz

Для выполнения требуется ssh доступ. По мере нахождения новых, буду добавлять сюда. Так же могу посоветовать скрипт ai-bolit.

AI-Bolit это бесплатный скрипт для поиска вирусов, троянов, бэкдоров, скрытых и спам-ссылок, а также других хакерских активностей на хостинге.

Ввод команд осуществляется в корнейвой директории веб сайта. После нахождения файлов, внимательно анализируем код каждого, используя любимый текстовый редактор (vim, nano, emacs).

$ grep -Rl "eval(base64_decode" ./*
$ grep -Rl "convertIpToString" ./*
$ grep -Rl "Batavi4" ./*
$ grep -Rl "PAlDf" ./*
$ grep -Rl "QUEST*" ./*
$ grep -Rl "eval" ./*
$ grep -Rl "preg_replace(" ./*
$ grep -Rl "#AHC's SHELL" ./*
$ grep -Rl "b374k" ./*
$ grep -Rl "r57shell" ./*
$ grep -Rl "shell" ./*
$ grep -Rl "eval(gzinflate" ./*
$ grep -Rl "@error_reporting(" ./*
$ grep -Rl "RewriteCond %{HTTP_USER_AGENT}" ./*
$ grep -Rl "GIF89a1" ./*
$ grep -Rl "googlanalytics." ./*
$ find * -type f -name '[0-9][0-9][0-9][0-9]*.php'
$ grep -Rl "FilesMan" ./*
$ grep -Rl "RewriteCond %{HTTP_REFERER}" ./*
$ grep -Rl "ded509" ./*
$ grep -Rl "Hmei7" ./*
$ grep -Rl "jeikungjapani.com" ./*
$ grep -Rl "herofreemanja.com" ./*
$ grep -Rl "mineraledrink.pl" ./*
$ grep -Rl "MR.ART@N" ./*
$ grep -Rl "81a338" ./*
$ grep -Rl "DVMessages" ./*
$ grep -Rl "versio:" ./*
$ grep -Rl "SanFour25" ./*
$ find * -type d -name bca
$ find * -type d -name welcome_new
$ find * -type d -name sys0972500
$ find * -type d -name admin57.php
$ grep -Rl "c3284d" ./*
$ grep -Rl "IndiShell" ./*
$ grep -Rl "17da00" ./*
$ grep -Rl "950459" ./*
$ grep -Rl "phrae.tv" ./*
$ grep -Rl "245ca2" ./*
$ grep -Rl "tress" ./*
$ grep -Rl "var _11O=" ./*
$ grep -Rl "3xindiansex.com" ./*
$ grep -Rl "78.138.118.126" ./*
$ grep -Rl "redirg.info" ./*
$ grep -Rl "mixbiz.net" ./*
$ grep -Rl "top-quality-sites.com" ./*
$ grep -Rl "redspy" ./*
$ grep -Rl "demolition" ./*
$ grep -Rl "HEYKOLOG" ./*
$ grep -Rl "broteria" ./*
$ grep -Rl mass.pl ./*
$ grep -Rl welcome_new ./*
$ grep -Rl "BArNEr" ./a*