Buscar archivos que contengan cadena de texto en tu hosting (linux)

4 marzo, 2013
Jhonnyf

Una forma de buscar una cadena de texto en todos los archivos es usando el comando grep que acepta una expresion regular como parametro de busqueda, en este ejemplo usamos los parametros -l y -r que significa que solo me muestra los archivos como una lista y en todos los subdirectorios

¿Cuando Usarlo en Sitios Web?

Cuando entran/hackean en tu sitio web, usalmente te dejan banner publicitarios, enlaces o cualquier otra cosa,si por ejemplo veo que sale un banner haciendo referencia al sitio web http://sitiomalicioso.com/ lo que haria es entrar via SSH ir a la carpeta raiz de tu sitio web (normalmente es public_html,  www o httpdocs) y ejecutar el siguiente comando:

luego de eso obtendré la lista de archivos que contengan esa palabra y podré prodecer a limpiar el sitio web

En otros casos, uno puede estar siempre buscando el codigo malisioso o la cadena del enlace que dejaron y nunca lo va a encontrar nada; esto es debido que usualmente dejan la cadena cifrada que debe ser decifrada con la funcion base64_decode.

Asi que nuestra busqueda será de esa funcion en los archivos del hosting

No te sorprendas en encontrar varios archivos ya que esa función la pueden usar especificamente algunos Scripts, asi que con esa lista debes inspeccionar tus archivos y encontrar la cadena maliciosa. por ejemplo en la siguiente imagen esos archivos contiene esa función, pero ninguna es malicioso 😀

grep_linux

Notas:

  • Recuerden SSH es Consola Linux, asi que eso comandos son validos en cuaquier distribucion LINUX
  • Si la Salida, es decir la lista, es muy larga, puedes mandarlo a un archivo poniendo al final del comando > salida.txt y luego puedes descargar ese archivo o visualizar si manejas los editores de Linux (vi, nano, etc)

Sin comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *