Grep: Scanning Backdoor

From OnnoWiki
Revision as of 09:14, 29 October 2024 by Onnowpurbo (talk | contribs) (Created page with "==grep== Dan yang terakhir, kita memiliki perintah grep yang merupakan tool command line yang hebat di Unix dan Linux. Perintah ini digunakan untuk mencari dan memeriksa kump...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

grep

Dan yang terakhir, kita memiliki perintah grep yang merupakan tool command line yang hebat di Unix dan Linux. Perintah ini digunakan untuk mencari dan memeriksa kumpulan data untuk line yang cocok dengan ekspresi reguler. Sebagai sejarah singkat, utilitas ini dikodekan oleh Ken Thompson pada tanggal 3 Maret 1973 untuk Unix. Saat ini, Grep dikenal untuk mendeteksi dan mencari shell backdoor yang mengganggu dan skrip berbahaya juga.

Grep juga dapat digunakan untuk mendeteksi skrip yang rentan (misalnya fungsi PHP shell_exec yang merupakan fungsi PHP berisiko yang memungkinkan eksekusi kode jarak jauh atau eksekusi perintah). Kita dapat menggunakan perintah grep untuk mencari fungsi shell_exec() sebagai keuntungan kita di direktori /var/www untuk memeriksa kemungkinan file PHP yang rentan terhadap RCE atau injeksi perintah. Berikut ini perintahnya:

grep -Rn "shell_exec *( " /var/www

Shell backdoor biasanya menggunakan fungsi shell_exec untuk mengeksekusi perintah sembarangan. Selain fungsi shell_exec, sebagian besar shell backdoor PHP juga menggunakan fungsi seperti base64_decode, eval, phpinfo, system, php_uname, chmod, fopen, fclose, readfile, edoced_46esab, dan passthru. Jadi Anda juga dapat dengan mudah grep fungsi-fungsi ini:

grep -Rn "shell_exec *(" /var/www
grep -Rn "base64_decode *(" /var/www
grep -Rn "phpinfo *(" /var/www
grep -Rn "system *(" /var/www
grep -Rn "php_uname *(" /var/www
grep -Rn "chmod *(" /var/www
grep -Rn "fopen *(" /var/www
grep -Rn "fclose *(" /var/www
grep -Rn "readfile *(" /var/www
grep -Rn "edoced_46esab *(" /var/www
grep -Rn "eval *(" /var/www
grep -Rn "passthru *(" /var/www

Kebanyakan botnet Perl IRC menggunakan fungsi-fungsi Perl umum seperti shell, system, dan tcp sehingga kita sebenarnya dapat melakukan grep pada fungsi-fungsi ini seperti halnya berburu atau mendeteksi shell backdoor PHP. Jadi, jika kita ingin memindai direktori /var/www kita lagi maka kita dapat menjalankan perintah di bawah ini:

grep -Rn "shell *(" /var/www
grep -Rn "tcp *(" /var/www
grep -Rn "system *(" /var/www

Grep adalah alat yang sangat bagus untuk deteksi manual dan analisis forensik :)

Pranala Menarik