Скрипт для поиска шеллов и другого вредоносного по

Товарищ, а можно сделать как-то по-другому?

Так чтобы можно его было запускать по крону и сохранять где-то результаты (или на почту).

Цены бы не было тогда )

Аналогичная ошибка выскакивает.

Версия PHP 5.2.6-1+lenny13

Очень полезный скрипт.

Огромное спасибо Вам Григорий!

Нашел среди подозрительных файлов действительно "левый" код.

На хост в течении продолжительного времени заливали шелл.

Шелл WSO для экспиремента попробовал залил сам, просканил - скрипт его обнаружил.

Единственная проблема - последняя версия выдает ошибку:

Скрипт не вернул результата в требуемое время.
Возможно хост, к которому обращается скрипт не отвечает

Это можно исправить или у меня на хосте прописыватиь лимит на выполнение сценария.

Спасибо за комментарии. Нужно понимать, что все возможные варианты и сигнатуры собрать физически нереально. Любой шелл можно обфусцировать бесконечное кол-во раз. Уверен, кто профессионально ломают сайты, как раз так и делают - шифруют для каждого нового сайта новым способом. И найти такой обфусцированный вариант можно единственным способом - с помощью эвристики. Я анализирую base64 кодированные последовательности и стандартные функции, типа eval(), base64_decode(), gzipinflate().

Естественно, нельзя 100% гарантировать, что эти функции не встретятся в CMS или других скриптах, поэтому скрипт при обнаружении не кричит про шеллы, а уравновешенно предупреждает о том, что в файле подозрительный код. А уже ответственность админа сайта сходить и проверить, что там. В большинстве случаев там действительно оказывается какая-нибудь "нечисть".

---------- Добавлено 10.04.2012 в 06:38 ----------

Товарищ, ага :)

По-другом сделать можно, причем мое участие здесь не нужно. Я писал об этом уже выше:

/usr/bin/php ai-bolit.php > result.html
^^^^^ путь до вашего интерпретатора, где там у вас он установлен

Запускать можно раз в сутки по крону - будет сваливать в файл result.html (пути там правильные указать и все будет хорошо).

В кроне можно настроить, чтобы он результат отработки скрипта присылал на почту. Будет вам как раз отчет на мыло.

---------- Добавлено 10.04.2012 в 06:40 ----------

Или ставьте лимит на время выполнения скрипта минут 20 (на время запуска ai-bolit.php), или

(так предпочтительнее) запускайте из командной строки через ssh.

---------- Добавлено 10.04.2012 в 06:41 ----------

Я добавил проверку на "scandir" в новую версию скрипта. Если функции нет - работать не будет. В перспективе, наверное, переделаю на обычные opedir, readdir. Может кто знает, почему функции scandir на некоторых хостингах нет?

Банально закрыта в php.ini

Еще если будете дорабатывать продукт до коммерческой версии правильным ходом будет вариант просмотра ОТКУДА прилетел шел и прочая нечисть. Если надо - подскажу в привате ;)

Надеюсь все пользователи скрипта понимают, что убирая шел, Вы не решаете проблему.

Однозначно полезный и нужный скрипт, добавил в избранное. Спасибо автору! :)

504 Gateway Time-out

на старой версии айболита не было

Спасибо за скрипт, на первом же проверенном сайте нашёл шелл =) Кстати вот этот:

Огромное спасибо автору. Проверил этим скриптом свой сайт и ужаснулся сколько там вредоносного по. Вопрос: Это вредоносное ПО удалить просто? И еще , может подскажите как в админку джумлы войти, если выдает ошибку 403. Переюзал все форумы , перепробовал множество вариантов и нифига. выдает ошибку 403(доступ закрыт). Можно конечно все с нуля начать но.... Жалко трудов .

а зачем вам админка? ))

ну если шибко нада - бекап, если пароль не забыли