Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Simple Server Malware Scanner

08-10-2012, 15:39 door Anoniem, 4 reacties
Hi Guys,

Jullie als systeembeheerders kennen het wel.. Een server die gehacked wordt.. het hoeft niet eens jou schuld te zijn. Dit heb ik wel eens meegemaakt op servers van derden, die mij dan om advies vroegen. Naja, om hier een analyse van te trekken terwijl je al een malafide bestand hebt aangetroffen op de desbetreffende server, ga je natuurlijk alle files en directories af.

Om dit makkelijk te maken heb ik het volgende geschreven:
https://sourceforge.net/projects/smscanner/

D.m.v. dit scriptje kun je via bash zoeken naar malicious files/directories. Bijv: /var/www/ wat bijna iedere webserver gebruikt.

Mijn plan was om dit script met kennis van derden uit te breiden. Dus wie tips heeft??

~
Unfluxx
Reacties (4)
08-10-2012, 15:50 door MrBil
Het werkt goed :) misschien is het handig om te kunnen zoeken naar bestanden die binnen een bepaalde tijd veranderd zijn ( tussen bepaalde dagen bijvoorbeeld )
08-10-2012, 15:59 door didrix
Misschien kun je ook zoeken op webshells:
- passthrough()
- system()
- exec()
etc...

En misschien iets slims bedenken dat je geobfusceerde code kan zoeken.
08-10-2012, 16:49 door Anoniem
Het zoeken naar shells wordt in de volgende update meegenomen.

De code wordt daarbij ook kleiner wegens de pipes die ik heb toegevoegd achter de greps.

de update wordt zo online gezet
09-10-2012, 09:42 door Anoniem
08-10-2012 - 15:23
Added Recently:
+ Logging scans
+ Just paste the results ( option 1 )
+ Added new Exploit methods to option 1

08-10-2012 - 15:34
+ Latest infections ( will be updated automaticly )
+ Added PHP Shell detection exec()/system() etc. ( more will be added soon )
+ The code has been changed into a smaller one

09-10-2012
+ Added new BlackHole methods
+ Added different javascript methods

Iemand nog tips of suggesties?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search