Hoy me he tenido que pelear con la busqueda de «scripts maliciosos» que me estaban tocando los cojones en un servidor, y bueno me he peleado de tal manera que he intentado hacer lo siguiente:

– Buscar ficheros o carpetas creadas por nobody
find -group nobody

Porque esto?
Porque muchos scripts para que funcionen debe de tener permisos de lectura, escritura y ejecución (777) las carpetas o los propios ficheros, implicando que nos puedan colar todo lo que quieran, por estas vías, como bouncer, boot de chat, etc.

Al anterior comando le suelo añadir cosillas como estas:
find -group nobody | grep txt
find -group nobody | grep psy
find -group nobody | grep bnc

Porque suelen ser las más putas. Un ejemplo claro, es usar un archivo txt como «Base de Datos» donde tengan las cuentas de correo y vayan recorriendo el fichero mientras que va enviando el correo, es sencillo, pero paso de explicarlo ahora xD

Una vez aqui y localizado el fichero suelo primero cambiar de forma recursiva el propietario del archivo:
find -type f -exec chown miusuario.miusuario «{}» \\;

Y ahora toca el cambio de permisos de forma recursiva del directorio donde estoy tanto de ficheros como de directorios:
– Para el cambio de permisos de forma recursiva para ficheros:
find -type f -exec chmod 644 «{}» \\;

– Para el cambio de permisos de forma recurisva para directorios:
find -type d -exec chmod 755 «{}» \\;

Ah y por supuesto… esos ficheros que vi de nobody raritos, me los cepillo borrandolo sin pensarmelo dos veces 🙂