BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...
13Mai/090

torpig/mebroot drive-by downloads erkennen via (z)grep

Für alle die Ihren Webspace durchsuchen wollen nach bösartigen IFRAMES hier ein kleiner String:
Dieser String ist gut für die meisten verschlüsselten Torpig/Mebroot IFRAMES.
SSH Zugang wird natürlich vorausgesetzt.
Im root Verzeichnis ausführen.

$ (z)grep -Rl 'function .(.){r="";for(i=0;i<..length;i++){if(..charAt(i)=="."){..="%"}else{..=..cha' *

Natürlich keine Gewähr auf 100% Trefferquote, da es sich dabei um einen statistischen Link handelt. Ich habe aus 42 JavaScript IFRAMES dieses Pattern gebastelt. Grep oder zgrep müsst Ihr entscheiden, je nach Dateien.

Kommentare (0) Trackbacks (0)

Zu diesem Artikel wurden noch keine Kommentare geschrieben.


Leave a comment

Noch keine Trackbacks.

/* google like button API */