Detectar shell en el servidor.

[bruno9111]

Hola a todos.

Mi consulta es la siguiente, pongamos que una web design haga webs y se haga pagar a trabajo terminado. Podria el web design subir muchas shell escondidas en carpetas y nunca ejecutarlas? Solo ejecutarla en el caso que no le paguen para modificar los archivos etc?

Se que el "cliente" podria hacer un back up de la web. Pero màs que nada la pregunta es por curiosidad. Osea un antivirus o anti backdoor, puede encontrar una shell en el servidor si nunca fue ejecutada?

Thank yous..

[el-brujo]

Si podría "esconder" una shell en php por ejemplo, pero se podría encontrar fácilmente. Un antivirus no detecta una shell, da igual si se ha ejecutado o no.

Buscar una shell en php podría ser relativamente fácil, podrías bajar todo el DocumentRoot y buscar por las funciones "potencialmente peligrosas" en php:

php_uname(),
getcwd();
system
etc, etc

Aquí hay varios detectores de rootkits, y medidas básicas de seguridad en Linux:

Seguridad en Linux Mandriva
http://foro.elhacker.net/tutoriales_documentacion/seguridad_en_linux_mandriva-t24001.0.html

[bruno9111]

Muchas gracias por tu respuesta.

El hecho es que recuerdo haber estado haciendo pruebas de distintas shell en un servidor gratuito, al cual bloquearon despues de ejecutar una shell, especificando en el mensaje de error que el motivo fue por ejecutar una shell.

Entonces, me entro la curiosidad, si habria alguna manera, he leido el articulo asique supongo que los buenos servidores deben tener algo que examina directamente en busca de acciones peligrosas en php y de esa manera lo descubren.

En este caso, pienso que todos los archivos deben ser "escanneados" y por ende reconocidos.

Gracias, por tu respuesta.