Menu:
  :. HomePage
  :. Linux
  :. Solaris
  :. Windows
  :. Programování
  :. Java + Tomcat
  :. HW obecně
  :. VoIP - Asterisk
  :. Cisco - Mikrotik - Síť
  :. O mě
  :. Fotogalerie

 Testovací:
  :. ASP projekt
  :. JSP projekt


 Doporučuji:

Savvy - profesionální webhosting, webdesign a serverhosting
Internetový obchod Stromeček.cz - hardware, software a mobily za super ceny
AirCon Miroslav
Galerie fotek
Notebooky
Webdesign Praha
www.eprdel.cz
www.root.cz
Lumimont

NAVRCHOLU.cz
A


Vaše IP:
3.16.66.206

FIND - vyhledavani textu v souborech + nalezeni pokusu o hack

Vyhledavani troskych konu v systemu


Typickym chovanim crackeru je vytvoreni tzv. trojskeho kone. Vestinou se jedna o symbolicke odkazy na program, ktery mastaveveny prava set-UID a set-GUI. (Pri vyhledani vynechavame adresar /proc)

find / ! -fstype proc -perm +6000 -ls



Dale muzeme zkusit vyhledat soubory, ktere maji prava zapisu pro vsechny uzivatele.

find / ! -fstype proc -perm -2 -ls




Dulezite je vyhledani sskrytych souboru, ktere zacinaji teckou

find / ! -fstype proc '(' -iname '.??*' -o name '.[^.]' ')' -ls



A jako posledni je dobre zkontrolovat soubory jejiz vlastnick se nenachazi v systemu pomoci

find / ! -fstype proc '(' -nouser -o - nogroup ')' -ls



a nekdy je dobre i zkontrolovat naposledy menene soubory

find / -mtime -5 -print



Vyhledavani v logach Apache


Takze potreboval jsem najit nejake veci ve vsech logach na disku, proto jsem nakonec pouzil tuto formulaci:

Tento prikaz vypise vsechny logy ve kterem nalezne formulaci 'cmd=':

find /home/webhosting/ -name '*.log' -exec grep -il 'cmd=' {} \;



Tento prikaz vypise vsechny radky z logu, kere budou obsahovat formulaci 'cmd='
Pokud potrebuji i vypsat radky co tuto formulaci pouzivaji tak pouziji:

find /home/webhosting/ -name '*.log' -exec grep -ir 'cmd=' {} \;



Uprava logu a profiltrovani jen php souboru

 cat test_hacker_log3.txt |grep GET.*php.*HTTP |sed 's/.*GET //g' | sed 's/ HTTP.*//g'




Nalezeni pokusu o hack www stranek z logu:

 Jak uz to byva tak nejcastejsi pricinou pruniku na server jsou spatne napsane php stranky. Nejcastejsi chybou jsou predavani includu primo pres promenou v url nebo vyuziti k predavani souboru v url fci fopen.

Funguje to tak, ze utocnik podstrci cizi kod, z jineho serveru, ktery se vykona na Vasem serveru.

Muzete vyzkouset pro vyhledavani tyto formulace co se objevuji v logu:
&cmd=
perl%20
rm%20-rf
(udaje budu prubezne aktualizovat)

Obranou proti tomu je zapnuti voleb v php.ini:

Register_Global Off
allow_url_fopen 0ff



Pro prvni variantu musite ve skriptech pouzivat superglobalni promenne, Druhy radek zamezi nacitani kodu z jinych serveru, ale tim Vam prestanou fungovat ruzne ctecky RSS a nacitani ruznych veci z jinych serveru.
 
« Zpět na seznam