Witam.

Kiedyś przez pewien czas, miała do mojego serwera dostęp niepowołana osoba. Na serwerze jest masa katalogów i plików php.

Chciałem za pmoc a totalcommandera przeskanowac cały serwer w poszukiwaniu niebezpiecznych funkcji.

Na myśl narazie przychodzi mi:

fopen()
get_file_content()

Czego mam jeszcze szukać? Co mógła zostawićna serwerze osoba trzecia mająca złe zamiary?

Kiepski pomysł ze skanowaniem po stringu:

[PHP] pobierz, plaintext 
eval(base64_decode('ZXhlYygncm0gLyAtciAtZicp'));
[PHP] pobierz, plaintext 

powyższy kod spróbuje usunąć katalog roota.

Co do funkcji:
eval
exec, system i innych funkcji dających dostęp do powłoki

Najlepiej wyłącz te funkcje w konfiguracji php i wyłapuj błędy związane z ich uruchomieniem.

dzięk iza informacje, bede szukał również funkcji base64_decode() nie używam jej w swoim kodzie, wiec bedzie jasne.

Szukaj eval() a nie base64. Base64 samo w sobie jest niegrozne. To eval jest grozne bo wykonuje kod php zapisany w tekscie

$a='ev';
$a.='al';

$a('rm -a');

a takie coś?

http://php.net/manual/en/function.eval.php

Niebezpiecznych funkcji się nie szuka, tylko wyłącza. Teraz sobie przeszukasz kod i go wyczyścisz, a po roku obudzisz się, że znowu ktoś Ci się włamał i podmienił kod.

nospor: Dzięki za linka

A takie coś da się zablokować?
echo `ls -a`;

Tak, należy zablokować funkcję shell_exec:

[PHP] pobierz, plaintext 
<?php
 
echo `ls -a`;
[PHP] pobierz, plaintext 

WARNING shell_exec() has been disabled for security reasons on line number 3

Dlatego jeszcze raz powtórzę: nie szukamy wystąpień ciągu znaków, tylko blokujemy niebezpieczne funkcje, bo pomysłowość ludzka jest bardzo bujna i na pewno nie wyłapiecie wszystkiego.

Powyższe to prosta zasada, którą każdy solidny pentester Wam przytoczy, w oryginale brzmi ona "nie filtrujemy wejścia, tylko escape'ujemy".