Explique a função de localização de malware no bash

0

Acabei de ver as linhas do arquivo .bash_history abaixo:

grep -iHlnr 'filesman' *2> /dev/null
grep -iHlnr 'eval.*base64_decode' *2> /dev/null

Do Google, sei que é algo como "comando de detecção de malware". Alguém pode explicar o que exatamente faz? (Eu sei o que é grep, mas essa sintaxe não está clara para mim).

    
por Adam Bieńkowski 03.09.2016 / 12:41

1 resposta

2

Os comandos que você postou não fazem nada útil - eles executam grep em arquivos cujo nome termina com 2 e recursivamente em diretórios cujo nome termina com 2 . Há um espaço faltando após * (o espaço após > é permitido, mas não é útil e mais confuso do que qualquer coisa):

grep -iHlnr 'filesman' * 2>/dev/null
grep -iHlnr 'eval.*base64_decode' * 2>/dev/null

Isso procura arquivos contendo filesman , ou contendo eval seguido por base64_decode na mesma linha, no diretório atual e em seus subdiretórios recursivamente. A pesquisa é insensível a maiúsculas e minúsculas. Veja o manual do grep para o significado exato de cada opção.

Chamar isso de "descoberta de malware" é um exagero grosseiro. Ele provavelmente está procurando por malware PHP, mas também pode retornar alguns arquivos legítimos e só encontra alguns malwares específicos.

    
por 04.09.2016 / 02:03

Tags