الويب العربي - طريقة عمل سكان شيل للبحث عن الشلات

الويب العربي (http://www.arabwebtalk.com/index.php)

- إدارة وتشغيل السيرفرات (http://www.arabwebtalk.com/forumdisplay.php?f=80)

- - طريقة عمل سكان شيل للبحث عن الشلات (http://www.arabwebtalk.com/showthread.php?t=91419)

طريقة عمل سكان شيل للبحث عن الشلات

السلام عليكم ورحمه الله

اخوانى كيفكم اليوم عساى تكونو بخير

اليوم سوف اشرح كيفية عمل بحث عن الشلات من الشل

اولا قم بالدخول الى الشل عن طريق البيوتى باليوزر رووت (root)

ثم اكتب الاتى

كود PHP:


		
			
cd / root

والان قم بعمل ملف .txt لحفظ الناتج فيه وذلك بالامر التالى

كود PHP:


		
			
mk scan.txt

والان نضع هذا الامر ونتركه يعمل سكان على السيرفر وقد يستغرق مده على حسب عدد المواقع اللى على السيرفر

كود PHP:


		
			
egrep "cgitelnet|webadmin|PHPShell|tryag|r57shell|c99shell|sniper| noexecshell|/etc/passwd|revengans" /home/*/public_html -R | cut -d: -f1 | uniq > /root/scan.txt

بعد الأنتهاء من البحث قم بالدخول إلى الملف التكست الذي قمنا بأنشائه في البداية

كود PHP:


		
			
pico scan.txt

الأن بيظهر لك ملفات الشيل على سيرفرك متواجدة في اي مكان تحديدآ لك ملف شيل ,

افحص الملف جيدا scan.txt لأانه سيظهر لك قواعد لو هناك عميل ماخد بك اب sql وبيضعها فى مساحته

تفحصه جيدا وتاكد ان الموجود به شلات فعلا ثم يمكنك ان تنفذ هذا الامر لمسح جميع ما بداخل هذا الفايل

كود PHP:


		
			
for i in `cat /root/scan.txt`;do rm -rf $i;echo $i deleted;done

تحياتى لكم واتمنى ان يكون الموضوع مفيد للجميع.

وعليكم السلام ورحمة الله وبركاتة

جزاك الله خيراً أخي ,,

بس هاذي الطريقة ما تنفع كثير ,, لئن المشكلة أغلب الي يرفعون الشلات يغيرون أسمها + يشفرون السورس كود

حق الشيل ,, فبل التالي مراح يضهر عندك :( ..

سي يوو

إقتباس:

اقتباس من مشاركة IrIsH (المشاركة 516683)

شكرا اخى على الرد وشرفتنى بمرورك وبالنسبه لتعليقك

فلنفترض ان هناك مخترقين على سيرفرك واحد رافع ملف r57shell واسمه r57shell واخر رافع نفس الاسكربت بأسم وليكن مثلا linux.php

عندما تبحث فسيجد الملف المرفوع بأسم r57shell وعندها ستتمكن من ازاله ملف من الملفين اى انه افادك ولو بنسبه 1 بالمئه وايضا ستعرف ان هناك خلل ما بسيرفرك

واذا كانت هناك طريقه اخرى تعرفها لمعرفه الاسكربتات اللى اساميها متغيره او متشفرلها السورس كود يا ريت تعطيهلنا لتعم الفائده على الكل.

وعليكم السلام ورحمة الله وبركاته

جزاك الله خير ..

يفضل لو زدت الاحتمالات في الأمر مثلاً ..

كود:

egrep "cgitelnet|webadmin|Shell|PHPShell|tryag|r57|c99|sniper| noexecshell|/etc/passwd|revengans" /home/*/public_html -R | cut -d: -f1 | uniq > /root/scan.txt

هذي فايدة أن تكون هكر .. ;)

تشآآآو

تسلم اخى الصريح جداً على مرورك الطيب ولكن

هذه اقوى الاحتمالات للسكربتات

وكمان بالنسبه لمثالك ما ذكرت شىء مختلف :D

إقتباس:

اقتباس من مشاركة LiNuX HaCker (المشاركة 518059)

الله يسلمك .. راجع الكود اللي انا نزلته والكود اللي نزلته بموضوعك

وقارن بينهم وراح تلاحظ الفرق ..

تشآآآو

اخى انت فاصل الكلمات ليس الا يعنى بكودك بدل ما تكتب r57shell كاتب r57 لوحدها shell لوحدها وهى هى نفس الموضوع

لا يالغلا .. انا وضعت احتمالات بحث أكثر بحذف عبارة shell من الأسماء اللي واضعها للشيلات

لأنها موب دايم تجي مرفقة بهالعبارة ولا فيه هكر يستخدمون هالمصطلح إلا قليل جداً

وبعضهم حتى ما يعرفه يكتبه زين !!

طبعاً كل شخص له طريقته بس أنا أفضل ان يتم تضييق الخناق على احتمالات البحث ;)

كل عام وانت بخير

تشآآو

وانت بخير اخى ورمضان كريم...

والاختلاف فى الرأى لا يفسد فى الود قضيه :D

ولكن اخر سؤال !! هل لو يوجد على سيرفر ملف مرفوع بأسم r57.php الكود اللى انت وضعو هيمسكوا والكود اللى انا واضعو ما يمسكوا؟؟

الله يفكنا من الهكرز ...
شكرا لك .

موضوع لذيذ ولله مشكور حبيبى linux Hacker