Php content-type güvenlik açığı ve web sitesinde shell kontrolü

[sevketk]

Merhaba.
Uploads klasöründe content-type kontrolünün yeterli olacağını zannediyordum. Ancak

Kod:

use LWP; use HTTP::Request::Common;  
$ua = $ua = LWP::UserAgent->new;;  
$ua->proxy('http', 'http://deneme.com/');  
$res = $ua->request(POST 'http://deneme.com/upload.php',               
        Content_Type => 'form-data',          
        Content => [           userfile => ["shell.php", "shell.php", "Content-Type" => "image/gif"],          
],         ); 
print $res->as_string();

şeklinde perl scripti ile content-type ın yanıltılabildiğini öğrenmiş bulunmaktayım.
Şimdi bu durumda sitemde bazı gizli linkler keşfettim (PageRank hırsızlığı yani)
Sistemime shell atıldığından şüpheleniyorum. Shell dosyalarını nasıl bulup silerim ?
Sistemi temizlemek için yapmam gerekenler nelerdir?
Teşekkürler

[tst]

CONTENT TYPE açığı denebilirmi emin değilim ama php shell lerin gif olarak tanıtılması coktan beri var.eğer shell servara girmişse yani baska bir siteye girip server ı rootladıktan sonra boyle yapıyosa yapacagınız pek birşey yok.ama sadece sizin alanınıza girmişse o zaman dizinleri kontrol edin derim.70 kb den buyuk php dosyalarına dikkat edin.ftp loglarına bakabilirsiniz.

[sevketk]

ftp loglarında ne diye arayacağım. dosya içeriklerini arattırarak bulamaz mıyım? shell temizlemenin daha etkin bir yöntemi yokmudur, 500-600 dosya arasında bu iş zor gibi. herhangi bir hazır programcık varmıdır (shell süpesi olan dosyaları listeleyen)? sadece benim alanıma girmiştir herhalde çünkü CONTENT TYPE tan başka kontrol yapmamıştım şu güne değin.

yani baska bir siteye girip server ı rootladıktan sonra boyle yapıyosa

cümlesini biraz açarmısınız? serverı rootlamak mı rebootlamak mı? rootlamak ise "server rootlamak" deyimini açarmısınız

[sevketk]

Evet kimseden cevap yoksa, diğer arkadaşların ve sorumu cevaplayan arkadaşında faydalanabilmesi için, cevaplayayım.

Öncelikle ftp loglarında değil. apache loglarına bakabilirsiniz.

xxx.xxx.xxx.xxx - [gg / aa / yyyy: ss: dd: ss -0700]
"/ yol / GET footer.inc.php ? act = edit & file = / home / hesap / public_html / . htaccess HTTP/1.1 "
200 4795 "http://website/path/footer.inc.php? act = dosya yöneticisi "" Mozilla/5.0 ... "

• Misal footer.inc.php masum bir isme sahip arka kapı komut dosyası içeren bir dosya.
• Dikkat edin "hareket" (eylem) = edit ve file =. htaccess .
• Yine hareket = dosya yöneticisi olan bir işlem .

ikinci yöntem. Sitenizin kodlarını komple bilgisayarınıza indirin. Kodlarınızı serverden silin. Localinize indirdiğiniz dosylarının içerisinde aşağıdaki kelimeleri
arattırın. bulduğunuz dosyaların sizin kodunuz olduğundan emin olun

• passthru
• shell_exec
• sistem
• phpinfo
• base64_decode
• edoced_46esab (Bu gibi dize arar tarafından tespit önlemek için geriye kullanılan base64_decode)
• chmod
• mkdir
• `` (Aralarında bir işletim sistemi komutu ile backticks)
• fopen
• fclose
• readfile

çok yakında şüpheli dosyaları bulan bir php dosyasını yazıp, burada yayınlayacağım. böylece sürekli olarak dosyaları locale indirmeden süpheli dosyaları
görüntüleyebileceksiniz.
Saygılar sevgiler