web comprometida linux

A continuación incluimos algunos comandos útiles para revisar el estado de una web .php que ha sido comprometida; es decir, donde se ha insertado código malicioso (generalmente en formato de ficheros .php).

Será necesario, en primer lugar, localizar los directorios que tengan permiso de escritura abierto para todo el mundo:
find . -perm 777

Este comando permite buscar archivos cuyo propietario es www-data (es decir, que han sido generados a partir de un usuario no identificado), y que el nombre incluye la extensión .php:
find . -user www-data -iname “*.php”

Comando para cambiar permisos de directorios de forma recursiva:
find . -type d -exec chmod 755 {} +

Idem, para cambiar permisos de archivos de forma recursiva:
find . -type f -exec chmod 644 {} +

Localizar archivos modificados en los últimos días:
find . -mtime +1 -mtime -6 -ls

Localizar archivos con una determinada cadena de texto dentro:
grep -Ril “texto-a-buscar” .
i: mayúsculas o minúsculas
R: recursivo
l: mostrar el nombre del fichero (y la ruta), no el propio contenido

Mostrar archivos filtrando por permisos y extensión:
find . -perm 644 -iname “*.php” | more

Cambiar permisos de propietario de directorios de forma recursiva:
chown -R usuario.grupo *

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies