torpig/mebroot drive-by downloads erkennen via (z)grep

13Mai/090

torpig/mebroot drive-by downloads erkennen via (z)grep

Für alle die Ihren Webspace durchsuchen wollen nach bösartigen IFRAMES hier ein kleiner String:
Dieser String ist gut für die meisten verschlüsselten Torpig/Mebroot IFRAMES.
SSH Zugang wird natürlich vorausgesetzt.
Im root Verzeichnis ausführen.

$ (z)grep -Rl 'function .(.){r="";for(i=0;i<..length;i++){if(..charAt(i)=="."){..="%"}else{..=..cha' *

Natürlich keine Gewähr auf 100% Trefferquote, da es sich dabei um einen statistischen Link handelt. Ich habe aus 42 JavaScript IFRAMES dieses Pattern gebastelt. Grep oder zgrep müsst Ihr entscheiden, je nach Dateien.

Tags: grep, torpig Kommentar schreiben

Kommentare (0) Trackbacks (0) ( Kommentare dieses Artikels abonieren )

Zu diesem Artikel wurden noch keine Kommentare geschrieben.

Seiten

Backscatter: Wie kann ich meinen Server Testen? (Qmail, Postfix mit Plesk 9.x 10.x )
Bot / Botnetz / IRC_Bots / Trojaner / “Code Base”
Botnetzwerk Aufbau
Honeypot “Nepenthes” (Honig-Topf)
Impressum und Datenschutz
IRC-Client : Irssi Installation
Minimale Server Backuplösung für Jedermann
Remote File Inclusion Attacks Log
Server Setup – Honeynet
Simple IRC Bot using Perl by oreilly.com
spamfence.net professionelle e-mail Sicherheit für Privatanwender
Warum Werbung auf den Blog?
Webserver Hacken – Remote File Inclusion (c99 php shell)
Wie installiere ich einen CS 1.6 Server (debian)

Letzte Artikel

Online Selbstschutz – Was kann ich tun?
Ist deine E-Mail Adresse gehackt, überprüfe es bei pwnedlist.com
Google Halbjahres Bilanz
Findmyhash.py – Hashwerte online berechnen lassen
Zwei Wege-Authentifizierung für das Google-Konto

BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) und Bots