Laatst kreeg ik een opdracht om een gehackte site te fiksen.
Door middel van onderstaand commando op de terminal kan je verschillende directories vergelijken (in mijn geval een originele directory uit een oude backup met de gehackte directory):
diff -rq folder1 folder2
Scheelde mij al aardig wat speurwerk!
Vervolgens kwam ik ook nog dit commando tegen om base64 decoding op te sporen:
grep -r base64_decode *
En dit commando om hex geencode data in javascript op te sporen:
grep -rP “(?:\\x[A-F0-9]{2}){5}” *
De laatste twee commando’s dien je uiteraard in de root directory uit te voeren.