Goedemorgen,

Afgelopen week is een wordpress site van mij waar ik niet meer naar om had gekeken besmet met een PHP backdoor.
Ze hadden toegang gekregen tot de wp-admin omgeving en hier de backdoor kunnen uploaden met de plugin upload functie.

Er komen steeds weer nieuwe beveiligingslekken uit en om mezelf hiervoor een beetje te beschermen heb ik een klein scriptje gemaakt dat ik elke uur los laat op de hele /home/ folder van me server.

Hierbij deel ik het met iedereen die het ook wilt gebruiken.

Code:

#!/bin/bash


## 	
## This script scans all PHP files for the eval() function widely used in backdoor scripts.
## You can set it to automatically run by using the cron utility.
##


## temp file for this script to check
_tempfile=/var/log/backdoor/infected.log
## permanent log file
_logfile=/var/log/backdoor/infected.log.1
## directory to scan [multiple directory must be divided by a space; e.g /home/ /root/ /etc/ ] 
_scandir=/home/
## primary email to send log to
_mail1="email1@domein.nl"
## secondary email to send log to, as a backup
_mail2="email2@domein.nl"
## email subject for the log
_mailsubject="WARNING: Suspicious files found on server"
## send the log via email set to "yes" to only log the infected files set to "no"
_sendmail=yes


##
## ATTENTION: DON'T CHANGE ANYTHING BELOW THIS LINE!
##


timestamp() { 
date +'%m/%d/%Y-%T:'
}


find $_scandir -type f -name '*.php' -mtime -1 -exec awk -v time=$(timestamp) '/eval\(/ {printf "%s %d:", time, FNR; print FILENAME}' > $_tempfile {} \;
 
if [ -s "$_tempfile" ]
then
		if [ $_sendmail == "yes" ]; 
		then
			cat $_tempfile | mail -s "$_mailsubject" $_mail1 -c $_mail2
		fi
		cat $_tempfile >> $_logfile;
		cat /dev/null > $_tempfile;
fi

Er is zeker ruimte voor verbetering dus als je suggesties hebt kan je het in dit topic melden.
Ik ben geen expert in bash commands dus het gebruik hiervan is voor eigen risico, het werkt voor mijn doeleinde prima.

Groeten,
Ben

Aardig dat je het deelt! Zo help je anderen verder :-)