Eliminar os exploits r57 e c99 en servidores LAMP

Examinando os logs de apache atopo uns erros 404 a un ficheiro «r57.php». Polo visto este é un coñecido script PHP ruso que compromete o servidor web permitindo o upload de ficheiros, descarga de ficheiros, spam relay, control das SQL, ...

Para eliminar este shellScript dun servidor infectado pódese executar os seguintes comandos:

find /var/www/ -name "*.php" -type f -print0 | \
    xargs -0 grep r57 | uniq -c | sort -u | \
    cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq

Tamén se pode agochar baixo extensión gif ou txt (entre outras). Outro shellScript coñecido é c99.php, podendo eliminalo co seguinte comando:

find /var/www/ -name "*.php" -type f -print0 | \
 xargs -0 grep c99 | uniq -c | sort -u | \
 cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq

 

Última actualización 2012-08-03
2:04 AM (Europe/Madrid)
Data de creación 2011-04-02
12:35 AM (Europe/Madrid)
Eliminar os exploits r57 e c99 en servidores LAMP
bash scripting seguridade