vifito.eu

Script en bash para desmontar todos os puntos de montaxe CIFS:

1
2
3
4
5
6

for i in `cat /proc/mounts | awk '{if($3 == "cifs"){print $2}}'`
do
    echo -n "Unmounting $i ..."
    umount $i
    echo " done."
done

Examinando los logs de apache encuentro unos errores 404 a un fichero «r57.php». Por lo visto este es un conocido script PHP ruso que compromete el servidor web permitiendo el upload de ficheros, descarga de ficheros, spam relay, control de las SQL, ...

Para eliminar este shellScript de un servidor infectado se puede executar el siguiente comando:

1
2
3

find /var/www/ -name "*.php" -type f -print0 | \
       xargs -0 grep r57 | uniq -c | sort -u | \
       cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq

También se puede esconder bajo extensión gif, jpeg o txt, con lo que habría que cambiar la sentencia find. Otro shellScript conocido es c99, que se elimina con el siguiente comando:

1
2
3

find /var/www/ -name "*.php" -type f -print0 | \
       xargs -0 grep c99 | uniq -c | sort -u | \
       cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniq

Táboa comparativa para atopar o framework (PHP, Ruby, CSS ou JS) coas características desexadas:

http://www.bestwebframeworks.com/

Este é un artigo moi completo para comezar con Quercus:

http://www.ibm.com/developerworks/web/library/wa-quercus/

Con Quercus fixera un experimento no que instalar unha versión de Joomla 1.5, ver máis »