Exploit remove

Данные инструкции не претендуют на какую-то полную систему обнаружения и удаления эксплоитов на сервере, но является тем минимумом который должен сделать любой владелец сервера, который получил abuse на свой сервер или в целях профилактики

• Выполнить следующие команды для предотвращения загрузки эксплоитов.

chmod 0750 `which curl` 2>&-;
chmod 0750 `which fetch` 2>&-;
chmod 0750 `which wget` 2>&-;

• Выполните следующие команды чтобы проверить возможные эксплоиты.

sh
for x in "/dev/shm /tmp /usr/local/apache/proxy /var/spool /var/tmp"; do ls -loAFR $x 2>&- | grep -E "^$|^/| apache | nobody | unknown | www | web | htdocs " | grep -E "^$|^/|/$|\*$|\.pl$" | grep -Ev "sess_" | tee exploits.txt; done; echo -e "\n\nPossible Exploit Files and Directories: `grep -Ev "^$|^/" exploits.txt | wc -l | tr -d ' '`" | tee -a exploits.txt
exit

• Установить rkhunter
  

На BSD:

cd /usr/ports/security/rkhunter; make install clean; rehash; rkhunter –c

На Linux:

yum -y install rkhunter; rkhunter -c

• Проверить файлы с наличием слов потенциально говорящих о том, что это опасный файл

find /home \( -regex '.*\.php$' -o -regex '.*\.cgi$'  \) -print0 | xargs -0 egrep -il "r0nin|m0rtix|r57shell|c99shell|phpshell|void\.ru|phpremoteview|directmail|bash_history|brute *force"