웹 취약점 점검하다가 한번 만들어 봤습니다.
@@@@@@@@@@@@@@업로드된 불법 스크립트 의심 파일들 찾기v 1.1@@@@@@@@@@@@@@@@@@
업로드 된 파일 중(Nobody권한) 확장자가 php, html등은 웹 권한으로 스크립트 실행이 가능 하며 일반 계정과 똑같은 권한을 가질 수 있다.
해당 파일들의 경우 게시판 등에서 필요로 하는 파일 확률도 있지만 의도하지 않게 악의의 공격자가 심어 놓은 스크립트일 확률도 높다.
아래와 같이 특정 php함수를 실행 시키는 목록을 뽑아내면 의도하지 않은 파일을 효율적으로 걸러 낼 수 있다.
뽑아낸 모든 파일이 불법 업로드는 아니므로 나머지는 눈으로 확인하도록 한다
1. 파일 목록 뽑아내기
####Nobody권한의 스크립트 파일 목록 뽑아내기####
find /home \( \( -user nobody \) -a \( -name "*.php" -o -name "*.html" -o -name "*.htm" -o -name "*.ph" -o -name "*.php3" -o -name "*.php4" -o -name "*.inc" \) \) | grep -v 'zbSession' >search_files
2. 뽑아낸 목록에서 mail, 쉘실행, 업로드등 특정 php 함수를 실행하는 파일 목록 분리하기
####아래 패턴 모두 적용해서 찾기####
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^exec(\" -e \"[;@[:blank:]]exec(\" -e \"^system(\" -e \"[;@[:blank:]]system(\" -e \"^mail(\" -e \"[;@[:blank:]]mail(\" -e \"^fsockopen(\" -e \"[;@[:blank:]]fsockopen(\" -e \"^HTTP_POST_FILES\" -e \"[;@[:blank:]]HTTP_POST_FILES\" -e \"^copy(\" -e \"[;@[:blank:]]copy(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list
####목록 파일에서 실행 명령어 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^exec(\" -e \"[;@[:blank:]]exec(\" -e \"^system(\" -e \"[;@[:blank:]]system(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list
####목록 파일에서 메일 명령어 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^mail(\" -e \"[;@[:blank:]]mail(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list
####목록 파일에서 소켓open 명령어 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^fsockopen(\" -e \"[;@[:blank:]]fsockopen(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list
####목록 파일에서 copy 명령어(파일 업로드 포함) 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^HTTP_POST_FILES\" -e \"[;@[:blank:]]HTTP_POST_FILES\" -e \"^copy(\" -e \"[;@[:blank:]]copy(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list
출처 : http://nicesolo.com
