Grep: Scanning Backdoor
grep
Dan yang terakhir, kita memiliki perintah grep yang merupakan tool command line yang hebat di Unix dan Linux. Perintah ini digunakan untuk mencari dan memeriksa kumpulan data untuk line yang cocok dengan ekspresi reguler. Sebagai sejarah singkat, utilitas ini dikodekan oleh Ken Thompson pada tanggal 3 Maret 1973 untuk Unix. Saat ini, Grep dikenal untuk mendeteksi dan mencari shell backdoor yang mengganggu dan skrip berbahaya juga.
Grep juga dapat digunakan untuk mendeteksi skrip yang rentan (misalnya fungsi PHP shell_exec yang merupakan fungsi PHP berisiko yang memungkinkan eksekusi kode jarak jauh atau eksekusi perintah). Kita dapat menggunakan perintah grep untuk mencari fungsi shell_exec() sebagai keuntungan kita di direktori /var/www untuk memeriksa kemungkinan file PHP yang rentan terhadap RCE atau injeksi perintah. Berikut ini perintahnya:
grep -Rn "shell_exec *( " /var/www
Shell backdoor biasanya menggunakan fungsi shell_exec untuk mengeksekusi perintah sembarangan. Selain fungsi shell_exec, sebagian besar shell backdoor PHP juga menggunakan fungsi seperti base64_decode, eval, phpinfo, system, php_uname, chmod, fopen, fclose, readfile, edoced_46esab, dan passthru. Jadi Anda juga dapat dengan mudah grep fungsi-fungsi ini:
grep -Rn "shell_exec *(" /var/www grep -Rn "base64_decode *(" /var/www grep -Rn "phpinfo *(" /var/www grep -Rn "system *(" /var/www grep -Rn "php_uname *(" /var/www grep -Rn "chmod *(" /var/www grep -Rn "fopen *(" /var/www grep -Rn "fclose *(" /var/www grep -Rn "readfile *(" /var/www grep -Rn "edoced_46esab *(" /var/www grep -Rn "eval *(" /var/www grep -Rn "passthru *(" /var/www
Kebanyakan botnet Perl IRC menggunakan fungsi-fungsi Perl umum seperti shell, system, dan tcp sehingga kita sebenarnya dapat melakukan grep pada fungsi-fungsi ini seperti halnya berburu atau mendeteksi shell backdoor PHP. Jadi, jika kita ingin memindai direktori /var/www kita lagi maka kita dapat menjalankan perintah di bawah ini:
grep -Rn "shell *(" /var/www grep -Rn "tcp *(" /var/www grep -Rn "system *(" /var/www
Grep adalah alat yang sangat bagus untuk deteksi manual dan analisis forensik :)