Como realizar buscas de arquivos maliciosos em seu site

Segurança é um item essencial na web hoje. A SOLOWEB sempre se preocupa em entregar e gerenciar os produtos e serviços sempre nos padrões de confiabilidade e segurança. Mas como sabemos, vai sempre existir uma brecha encontrada para quebrar a segurança do seu site/servidor, para isso não ocorrer devemos sempre estar atentos para realizar manutenções de segurança e assim evitar transtornos futuros que é a perda do seu site ou até mesmo seu servidor.

Esta é apenas umas das diversas técnicas que deverá executar diariamente juntamente com as demais técnicas e com outras ferramentas de anti-vírus e anti-malwares para proteger seu site. Recomendamos automatizar este processo com script Shell para ser notificado caso algo fora do normal ocorra. Se tiver dificuldades entre em contato conosco, por meio dos nossos canais de atendimento www.soloweb.com.br, temos o prazer em ajudar.

https://youtube.com/watch?v=GumbdylhFTA%3Fstart%3D32%26feature%3Doembed

Antes de começar com o tutorial vamos passar algumas dicas de segurança importante que pode livrar você de um possível problema.

  1. Aplique uma rotina de backup de preferência em um servidor diferente onde só sua equipe tenha acesso;
  2. Sempre esteja atento a atualizações de sistemas, CMS, entre outros;
  3. Cuidado com a instalação Aplicativos suspeitos(geralmente aplicativos crackeados);
  4. Mantenha sua máquina (me refiro a máquina de acesso aos sites e servidores) sempre segura com aplicativos anti-vírus e anti-malwares.

Seguindo essas dicas você poderá ficar tranquilo em relação a qualquer ataque em seu site. Mas mesmo quando mantendo tudo isso, ainda assim é invadido/hackeado?

Mesmo com todos esses procedimentos seu site poderá ser hackeado, às vezes a atualização do CMS não chega a tempo e termina seu site sendo invadido, daí teremos que entrar em cena para “limpar todo na mão”.

A dica que vou passar aqui é super simples e funcional, o sistema operacional é o CentOS, mas da para utilizar em qualquer outro Linux.

Primeira mente você deverá acessar a pasta de publicação de site do usuário:

$ cd /home/usuario/public_html

Após acessar deverá verificar arquivos padrão do seu CMS com o comando “ls” um exemplo que vou colocar aqui é o WordPress:

$ ls
index.php        wp-blog-header.php    wp-cron.php        wp-mail.php
license.txt      wp-comments-post.php  wp-includes        wp-settings.php
readme.html      wp-config.php         wp-links-opml.php  wp-signup.php
wp-activate.php  wp-config-sample.php  wp-load.php        wp-trackback.php
wp-admin         wp-content            wp-login.php       xmlrpc.php

É possível verificar os arquivos ocultos com o comando “ls -a” não vai ser muito diferente o WordPress só possui o “.htaccess” como arquivo oculto então qualquer arquivo extra além do “.htaccess” se torna suspeito.

Bem, agora vem o pulo do gato, o Linux possui comandos para podermos verificar a data dos arquivos, porém isso pode ser feito sem problema com o comando ls basta digitar o seguinte comando:

$ ls -la
total 6793776
dr-xr-x---. 21 root    root         28672 Jun 28 22:13 .
dr-xr-xr-x. 20 root    root          4096 Jan 20 15:22 ..
-rw-r--r--   1 root    root             0 Jan 24 23:03 arquivo-suspeito.php

Com esse comando você vai conseguir ver a data do arquivo suspeito e agora com isso você vai ter uma noção da data que ocorreu a invasão e assim rastrear todos arquivos inseridos nessa data e modificados com um comando muito simples de fazer que é o “find”.

$ find . -name "*.php" -exec ls -la {} \; | grep "Jan 24"

Para entender um pouco esse comando vamos descrever seu funcionamento:

  • find” comando de busca você pode conhecer mais um pouco neste link.
  • Após o find vem o “.” nele você ta informando o diretório corrente.
  • -name” esse parâmetro é para informar o nome do arquivo onde a saída vai ser exatamente o que foi digitado;
  • *.php” aqui você informa que precisa de todas as saídas de arquivos da extensão php.
  • -exec” executa comando se o status de saída zero for retornado. Todos os argumentos para find serão considerados como argumentos do comando até que um argumento consistido por ‘;’ seja encontrado.
  • ls -la” já foi explicado é o comando com a listagem de arquivos.
  • {}” aqui você esta informando que a saída da busca vai ser usada como parâmetro do comando “-exec”.
  • \;” Informa que no final da saída encerra o comando.
  • grep “Jan 24”” aqui você consegue filtrar apenas os resultados referente a esse dia

Pronto, assim você vai conseguir visualizar todos os arquivos modificados/inseridos nessa data. Depois disso agora é só investigar os arquivos, onde você poderá excluí-los ou guardar para estudar.

E lembrando que a SOLOWEB além de oferecer Hospedagem de Sites, Servidores Dedicados, Servidores VPS com o menos custo do Brasil, também desenvolve soluções de software e realiza gerenciamento e monitoramento de servidores para sua empresa, faça uma cotação sem custo, acesse: www.soloweb.com.br

Deixe um comentário