취약점 점검시 파일 찾기

2014.02.19 10:51

소울 조회 수:4621

####Nobody권한의 스크립트 파일 목록 뽑아내기####
find /home \( \( -user nobody \) -a \( -name "*.php" -o -name "*.html" -o -name "*.htm" -o -name "*.ph" -o -name "*.php3" -o -name "*.php4" -o -name "*.inc" \) \) | grep -v 'zbSession' > search_files


####아래 패턴 모두 적용해서 찾기####
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^exec(\" -e \"[;@[:blank:]]exec(\" -e \"^system(\" -e \"[;@[:blank:]]system(\" -e \"^mail(\" -e \"[;@[:blank:]]mail(\" -e \"^fsockopen(\" -e \"[;@[:blank:]]fsockopen(\" -e \"^HTTP_POST_FILES\" -e \"[;@[:blank:]]HTTP_POST_FILES\" -e \"^copy(\" -e \"[;@[:blank:]]copy(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list


####목록 파일에서 실행 명령어 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^exec(\" -e \"[;@[:blank:]]exec(\" -e \"^system(\" -e \"[;@[:blank:]]system(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list


####목록 파일에서 메일 명령어 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^mail(\" -e \"[;@[:blank:]]mail(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list


####목록 파일에서 소켓open 명령어 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^fsockopen(\" -e \"[;@[:blank:]]fsockopen(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list


####목록 파일에서 copy 명령어(파일 업로드 포함) 사용하는 스크립트 파일 찾기(참고)
cat search_files|awk '{print "find",$1,"-exec grep -H -r -e \"^HTTP_POST_FILES\" -e \"[;@[:blank:]]HTTP_POST_FILES\" -e \"^copy(\" -e \"[;@[:blank:]]copy(\" {} \\;"}'|sh -x|awk -F":" '{print $1}'|uniq > search_list

[펌] 어드민플레이