Script de recherche de backdoor

1. #!/bin/bash
2. # Auteur: Tlams
3. # Utilisation: search.sh /var/www/
4. # Version : 1
5. # Fonction: Script de recherche de backdoor
6.  
7.  
8. echo "Passe 1"
9. # 1er  -> Detection des fonctions classiques non proteges
10. # 2eme -> Detection des Hex
11. # 3eme -> Detections de certains mots et fonctions non proteges
12. # 4eme -> Detection des caracteres chinois...
13.  
14.  
15. egrep -r -i --include="*.php" -e '(eval\((base64|$\_|gzinflate))' -e '(preg_replace\(\".*\"\,\"(\\x[0-9]{2}){2})' -e '\$[a-z]\(\$\_'  -e '(Zero-X|^system\()|[B|b]ackdoor' -e '[一-十]'  $i | awk -F: '{print "Fichier suspect trouvé: "$1}' | uniq
16.  
17. echo "--------------"
18.  
19. # Permer de detecter les fichers ayant plus des 5000 caracteres sur une meme ligne (souvent signe)
20. echo "Passe 2"
21. for i in $(find $1 -name \*.php); do
22.         awk -v file="$i" '{ if (length($0) > 5000) print "Fichier suspect trouvé: "file }' $i | uniq
23. done
24.  
25. echo "--------------"
26.  
27. # Recherche des fichiers non commum (.sh .bash .pl...)
28. echo "Passe 3"
29. find . -name \*.sh -o -name \*.pl -o -name \*.bin -o -name \*.bash | awk -F: '{print "Fichier suspect trouvé: "$1}' | uniq