Antivirus en Bash para servidores

  • 0 Respuestas
  • 219 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5677
  • Actividad:
    30%
  • Country: ar
  • Reputación 37
  • ANTRAX
  • Skype: underc0de.org
  • Twitter: @Underc0de
    • Ver Perfil
    • Underc0de
    • Email

Antivirus en Bash para servidores

  • en: Junio 11, 2020, 10:40:44 am

Código: Bash
  1. #!/bin/bash
  2.  
  3. case $1 in
  4.         -p)     echo "####################################################################################";
  5.                 echo "ATENCION: NO CORRER ESTO EN LA RAIZ DEL CLIENTE, SOLO DENTRO DE HTDOCS O RUTA PUBLICA";
  6.                 echo "####################################################################################";
  7.                 echo "Aplicando permisos 755 a directorios...";
  8.                         find . -type d -exec chmod 755 {} \;
  9.                 echo "Aplicando permisos 644 a ficheros...";
  10.                         find . -type f -exec chmod 644 {} \;
  11.         exit;
  12.         ;;
  13. esac
  14.  
  15. echo -e "************************";
  16. echo -e "Buscando symlinks....";
  17. echo -e "************************";
  18.  
  19.  
  20. #find . -type l -exec ls -lad {} \;
  21. echo -e "\nBuscando nuevos ofuscamientos ....";
  22. egrep . -iRle "\\\\057|\\\\157|\\\\151|\\\\141|\\\\145|\\\\144|\\\\164|\\\\160|\\\\156|\\\\150|\\\\163|\\\\060|\\\\055"
  23. #grep . -iRle "\\057" -e "\\157" -e "\\151" -e "\\141" -e "\\145" -e "\\144" -e "\\164" -e "\\160" -e "\\156" -e "\\150" -e "\\163" -e "\\060" -e "\\055"
  24.  
  25. echo -e "\nArchivos probabilidad > 80% (los js puede que no sean virus, revisar a mano):";
  26.  
  27. grep . -iRle "function.*strlen.*base64_decode" -e "gzinflate(base64_decode" -e "s21=strtolower" -e "s20=strtoupper" -e "gzuncompress(base64_decode" -e "strtoupper.*eval" -e "@eval($_POST" -e "_REQUEST.*chr" -e "\?php.*.chr(" -e "\$GLOBALS.*eval.*echo" -e "file_get_contents.*fwrite.*fclose" -e "gzinflate.*str_rot13"| egrep -v "phpmailer|.js";
  28.  
  29. #echo -e "\nArchivos probabilidad > 80% tipo nombre##.php común en virus";
  30. #find . -iname [a-z][a-z]*[0-9][0-9].php;
  31. #echo -e "";
  32.  
  33. echo -e "\n****************************************************";
  34. echo -e "Deseas correr busquedas con Probabilidad < 50% ?";
  35. echo -e "(yes = y / no = n): ";
  36. echo -e "****************************************************";
  37. read permisos
  38. if [ "$permisos" = "y" ]; then
  39.         echo "Archivos probabilidad < 50% OJO: Puede incluir falsos positivos:";
  40.         grep . -R -l -e "return base64" -e "base64_decode" -e "md5(\$_REQUEST"  | grep -v "phpmailer";
  41.         #grep . -iR -l -e "file_get_contents" -e "shell_exec";
  42.         echo -e "";
  43. else
  44.         echo "Siguiente \n"
  45. fi
  46.  
  47.  
  48. echo -e "\n****************************************************";
  49. echo -e "Deseas correr busquedas de ofuscamiento hexadecimal ";
  50. echo -e "Probabilidad < 50%";
  51. echo -e "(yes = y / no = n): ";
  52. echo -e "****************************************************";
  53. read permisos
  54. if [ "$permisos" = "y" ]; then
  55.         echo -e "Buscando PHP ofuscado en hexadecimal...";
  56.         grep '\\x[0-9]\{1\}[0-9a-f]\{1\}\\x[0-9]\{1\}[0-9a-f]\{1\}*\\x[0-9]\{1\}[0-9a-f]\{1\}*\\x[0-9]\{1\}[0-9a-f]\{1\}*' . -ilr | grep -v jquery;
  57.         echo -e "";
  58. else
  59.         echo "Siguiente\n";
  60. fi
  61.  
  62.  
  63. echo -e "\n***********************************************";
  64. echo -e "Deseas correr otras busquedas no tan efectivas? ";
  65. echo -e "(yes = y / no = n): ";
  66. echo -e "***********************************************";
  67. read permisos
  68. if [ "$permisos" = "y" ]; then
  69.         echo "Buscando Xploit Pattern\n";
  70.         sploitpattern='r0nin|m0rtix|upl0ad|r57shell|cFaTaLisTiCz_Fx|Tukulesto|99shell|shellbot|phpshell|void\.ru|phpremoteview|directmail|bash_history|\.ru/|brute *force|multiviews|cwings|vandal|bitchx|eggdrop|guardservices|psybnc|dalnet|undernet|vulnscan|spymeta|raslan58|Webshell'
  71.         find ./ \( -regex '.*\.php$' -o -regex '.*\.cgi$' -o -regex '.*\.inc$' \) -print0 | xargs -0 egrep -il "$sploitpattern" | sort
  72. else
  73.         echo "Siguiente \n.";
  74. fi
  75. #echo -e "";
  76. #echo -e "Buscando posible SPAM...";
  77. #echo -e "************************"
  78.  
  79. #grep . -R -l -e "$GLOBALS\[";
  80.  
  81.  
  82. echo -e "\n************************";
  83. echo -e "Deseas aplicar permisos ";
  84. echo -e "seguros a archivos y directorios? ";
  85. echo -e "(yes = y / no = n): ";
  86. echo -e "**************************";
  87. read permisos
  88. if [ "$permisos" = "y" ]; then
  89.         #echo -e "Aplicando permisos 755 a directorios...";
  90.                 echo "Ejecuta manualmente no en la ra▒z sino ruta publica: find . -type d -exec chmod 755 {} \;";
  91.         #echo -e "Aplicando permisos 644 a ficheros...";
  92.                 echo "Ejecuta manualmente no en la raíz sino ruta publica:  find . -type f -exec chmod 644 {} \;";
  93. else
  94.         echo "Terminamos.";
  95. fi

Dedicado a mi amigo @Gn0m3

Saludos,
ANTRAX


 

DDOS attack server v1 para juegos (es necesario ejecutarlo como administrador)

Iniciado por Julio0

Respuestas: 2
Vistas: 4461
Último mensaje Febrero 04, 2019, 03:44:32 pm
por Aincrad
Tool basica para detectar DDos postmortem & en tiempo real

Iniciado por s3cur1tyr00t

Respuestas: 2
Vistas: 6468
Último mensaje Noviembre 17, 2013, 02:09:46 am
por Harkonidaz
[Comando] CRIPT y DCRIPT para encriptar\desencriptar cadenas

Iniciado por LauBuru

Respuestas: 0
Vistas: 4567
Último mensaje Marzo 10, 2015, 09:59:53 pm
por LauBuru
Guia para crear Bombas logicas en Batch

Iniciado por Dharok

Respuestas: 2
Vistas: 6097
Último mensaje Mayo 13, 2011, 12:22:10 pm
por RandomSoft
Script para extraer el valor de una clave del registro

Iniciado por ANTRAX

Respuestas: 0
Vistas: 2719
Último mensaje Julio 18, 2011, 10:12:40 pm
por ANTRAX