Σήμερα το πρωί με ενημέρωσαν από την εταιρεία που διαχειρίζεται τους server μου ότι από κάποιο αρχείο σε ένα site έφευγαν spam mails. Με μια σύντομη αναζήτηση εντόπισα ότι το αρχείο είχε ανέβει με ftp κανονικότατα, χωρίς κάποια hackια. Πολύ πιθανό να ξέφυγε από τον πελάτη το pass μέσω κάποιου malware που διαβάζει τα passwords από τον ftp client.
Αυτό με έκανε να σκεφτώ λίγο πως θα αποφύγω ανάλογα περιστατικά. Έφτιαξα λοιπόν ένα php script το οποίο συνδέεται με ftp στον server και σκανάρει όλα τα αρχεία με executable extensions (php, php5 κλπ) και αποθηκεύει τη λίστα σε μια βάση. Την επόμενη φορά που θα τρέξει, με ενημερώνει για ότι νέο αρχείο υπάρχει, ώστε αν είναι κάτι που δεν το έχω προσθέσει εγώ, να το ελέγχω για πιθανά προβλήματα.
Δεν είναι και η πιο optimal λύση (θα μπορούσα με shell να ψάξω απλά όλα τα php αρχεία με ημερομηνία ως και μια μέρα πριν π.χ.) , όμως το υλοποίησα έτσι γιατί έχω σκοπό να προσθέσω μερικά ακόμα πράγματα στο script και να το ελευθερώσω σαν open source για όποιον χρειάζεται κάτι ανάλογο.
Μερικά πράγματα που θέλω να κάνω είναι:
- Να ελέγχει όλα τα νέα αρχεία για περίεργες functions (exec, base64_decode κλπ)
- Να με ενημερώνει για τα αρχεία που για κάποιο λόγο σβήστηκαν ή άλλαξαν (για αυτό και η βάση)
- Να τρέχει αυτόματα με ένα cron job και να με ενημερώνει με email, μια φορά κάθε 3-4 μέρες
Πολύ απλά πράγματα, λογικά σε λίγες μέρες θα το ανεβάσω κάπου. Αν έχετε κάποια ιδέα… στείλτε μου.
Πάντως μια γρήγορη λύση για τα δείτε αν υπάρχει κάποιο ύποπτο αρχείο είναι να τρέξετε από shell την παρακάτω εντολή:
grep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile) *\(" public_html/
η οποία θα σας δείξει αμέσως ότι υπάρχει με αυτές τις εντολές. Μπορείτε και να το περάσετε σε ένα cron job και να εκτελείται μόνο του, ενώ τα αποτελέσματα θα σας έρχονται στο email σας.