BackDoor: Difference between revisions
No edit summary |
No edit summary |
||
(3 intermediate revisions by the same user not shown) | |||
Line 28: | Line 28: | ||
find -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r | find -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r | ||
== Untuk mencari backdoor dengan bash script == | |||
#!/bin/bash | #!/bin/bash | ||
# Daftar direktori yang akan diperiksa | |||
# Daftar direktori yang akan diperiksa | directories=( | ||
directories=( | |||
"/var/www/html/" | "/var/www/html/" | ||
) | ) | ||
# Ekstensi file yang akan diperiksa | |||
# Ekstensi file yang akan diperiksa | extensions=( | ||
extensions=( | |||
".php" | ".php" | ||
".asp" | ".asp" | ||
".sh" | ".sh" | ||
) | ) | ||
# Pola kata kunci yang menandakan adanya shell atau backdoor | |||
# Pola kata kunci yang menandakan adanya shell atau backdoor | keywords=( | ||
keywords=( | |||
"shell_exec" | "shell_exec" | ||
"eval" | "eval" | ||
"base64_decode" | "base64_decode" | ||
) | ) | ||
# Loop melalui direktori dan file | |||
# Loop melalui direktori dan file | for directory in "${directories[@]}"; do | ||
for directory in "${directories[@]}"; do | |||
echo "Pemeriksaan direktori: $directory" | echo "Pemeriksaan direktori: $directory" | ||
echo "==================================" | echo "==================================" | ||
for extension in "${extensions[@]}"; do | for extension in "${extensions[@]}"; do | ||
echo "Pemeriksaan file dengan ekstensi: $extension" | echo "Pemeriksaan file dengan ekstensi: $extension" | ||
echo "----------------------------------" | echo "----------------------------------" | ||
# Menggunakan perintah find untuk mencari file dengan ekstensi yang sesuai | # Menggunakan perintah find untuk mencari file dengan ekstensi yang sesuai | ||
files=$(find "$directory" -name "*$extension" -type f) | files=$(find "$directory" -name "*$extension" -type f) | ||
for file in $files; do | for file in $files; do | ||
# Membaca isi file dan mencocokkan dengan kata kunci | # Membaca isi file dan mencocokkan dengan kata kunci | ||
for keyword in "${keywords[@]}"; do | for keyword in "${keywords[@]}"; do | ||
grep_result=$(grep -Hn "$keyword" "$file") | grep_result=$(grep -Hn "$keyword" "$file") | ||
#echo "." | #echo "." | ||
if [ -n "$grep_result" ]; then | if [ -n "$grep_result" ]; then | ||
echo "Shell atau backdoor ditemukan di file: $file" | echo "Shell atau backdoor ditemukan di file: $file" | ||
Line 76: | Line 69: | ||
done | done | ||
done | done | ||
done | done | ||
== Contoh Backdoor == | == Contoh Backdoor == |
Latest revision as of 09:43, 1 August 2024
Mencari BackDoor
grep -r "File Manager"
grep -r "adminer"
grep -r "c3RyX3JvdDEz"
grep -r "Z3ppbmZsYXRl"
grep -r "YmFzZTY0X2RlY29kZQ"
grep -r "c3RyX3JvdDEz"
grep -r "uname"
grep -r "str_rot13"
find -type f -name '*.php'
find -name "*.php" -mtime 7
find . -type d -name 'backdoor' -exec rm -r {} +
find -type f -name '*.htaccess' -delete
ob_start();
find -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r
Untuk mencari backdoor dengan bash script
#!/bin/bash # Daftar direktori yang akan diperiksa directories=( "/var/www/html/" ) # Ekstensi file yang akan diperiksa extensions=( ".php" ".asp" ".sh" ) # Pola kata kunci yang menandakan adanya shell atau backdoor keywords=( "shell_exec" "eval" "base64_decode" ) # Loop melalui direktori dan file for directory in "${directories[@]}"; do echo "Pemeriksaan direktori: $directory" echo "==================================" for extension in "${extensions[@]}"; do echo "Pemeriksaan file dengan ekstensi: $extension" echo "----------------------------------" # Menggunakan perintah find untuk mencari file dengan ekstensi yang sesuai files=$(find "$directory" -name "*$extension" -type f) for file in $files; do # Membaca isi file dan mencocokkan dengan kata kunci for keyword in "${keywords[@]}"; do grep_result=$(grep -Hn "$keyword" "$file") #echo "." if [ -n "$grep_result" ]; then echo "Shell atau backdoor ditemukan di file: $file" echo "$grep_result" echo "----------------------------------" fi done done done done
Contoh Backdoor
include("\167\160\55\141\144\155\151\156\57\164");
Untuk mengurai kode ini, mari kita konversikan setiap pasangan karakter heksadesimal ke karakter ASCII:
\167 adalah karakter ASCII untuk huruf "w".
\160 adalah karakter ASCII untuk huruf "p".
\55 adalah karakter ASCII untuk tanda hubung ("-").
\141 adalah karakter ASCII untuk huruf "a".
\144 adalah karakter ASCII untuk huruf "d".
\155 adalah karakter ASCII untuk huruf "m".
\151 adalah karakter ASCII untuk huruf "i".
\156 adalah karakter ASCII untuk huruf "n".
\57 adalah karakter ASCII untuk tanda garis miring ("/").
\164 adalah karakter ASCII untuk huruf "t".
Jadi, urutan karakter \167\160\55\141\144\155\151\156\57\164 dalam notasi ASCII mewakili string "wp-admin/t".