- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Однозначно полезный и нужный скрипт, добавил в избранное. Спасибо автору! :)
Обновления не забывайте скачивать. Сейчас бывает, что по два раза на дню выходят.
---------- Добавлено 10.04.2012 в 08:31 ----------
504 Gateway Time-out
на старой версии айболита не было
На старой версии проверялось в несколько раз меньше файлов. Запускайте из командной строки или увеличьте timeout в php.ini.
$strings = array("Web Shell by boff", "Web Shell by oRb", "devilzShell", "Shell by Mawar_Hitam", "N3tshell", "Storm7Shell", "Locus7Shell", "private Shell by m4rco", "w4ck1ng shell", "FaTaLisTiCz_Fx Fx29Sh", "r57shell.php", "default_action = 'FilesMan'");
взял из зарубежного скрипта, вылавливающего некоторые шеллы, может быть что-то новенькое будет.
---------- Добавлено 10.04.2012 в 12:28 ----------
В частности, вот этот фрагмент, default_action = 'FilesMan', встречается практически всегда, даже если сам шелл закодирован.
---------- Добавлено 10.04.2012 в 12:48 ----------
Вот ещё идейка: довольно часто, если на аккаунте много сайтов, дополнительные домены лежат не в отдельных корневых папках, а находятся как внутренние папки в папке основного домена. Когда таких дополнительных сайтов много, у скрипта нет шансов отработать - слишком много файлов. В итоге я могу по отдельности проверить папки дополнительных доменов, но не могу проверить папку основного домена. Нужна настройка, чтобы можно было игнорировать папки, являющиеся доменными именами (например, игнорировать папки первого уровня, содержащие в названии точку).
Спасибо за скрипт, на первом же проверенном сайте нашёл шелл =) Кстати вот этот:
Не удивительно ибо:
Спасибо за архивчик. Добавил сигнатуры, обновил архив со скриптом
В итоге я могу по отдельности проверить папки дополнительных доменов, но не могу проверить папку основного домена. Нужна настройка, чтобы можно было игнорировать папки, являющиеся доменными именами (например, игнорировать папки первого уровня, содержащие в названии точку)
Зачастую на подобных хостингах это технически не возможно, потому как грамотные админы запрещают лазить где попало. Ну а если контора "ВанькаВстанька" тогда вполне возможен подобный вариант.
Граждане, проверившие свои сайты - помните, что Вы нашли вершину айсберга. Теперь Вам нужно найти ОТКУДА к Вам запозли эти гадости.
Мы поможем найти "откуда" :)
Rebz, сколько уйдет времени на лог размером в 2тб ? Посещаемость сайта 40к уников в сутки.
Вопрос риторический, не хочу подвергать Вашу профессиональную деятельность какой либо критике, но не хорошо совать свои платные услуги в теме, где человек БЕСПЛАТНО делает вебсайты чище...
В перспективе, наверное, переделаю на обычные opedir, readdir.
С нетерпением ждём!..
Спасибо за комментарии. Нужно понимать, что все возможные варианты и сигнатуры собрать физически нереально. Любой шелл можно обфусцировать бесконечное кол-во раз. Уверен, кто профессионально ломают сайты, как раз так и делают - шифруют для каждого нового сайта новым способом. И найти такой обфусцированный вариант можно единственным способом - с помощью эвристики. Я анализирую base64 кодированные последовательности и стандартные функции, типа eval(), base64_decode(), gzipinflate().
Профессионалы может и обфусцируют по несколько раз, но на практике это редко встречается. Обычно на сайтах они лежат стандартные.
А с сигнатурами поможем :). Я сейчас на всех сайтах, которые чищу, "гоняю" и ваш скрипт. Если попадутся шеллы, которые он не увидит - примеры естественно буду.
Ещё раз хочу обратиться к владельцам сайтов на Joomla линейки 1.5. Все сайты до 1.5.26 ломают как орешки. Обновляйтесь!
Шелл заливают через админку либо через медиа менеджер (проверьте, не разрешена ли в конфигурации загрузка файлов php, если разрешена - вас взломали.), либо ставят специальные модули (mod_system, mod_stem и т.д. если такие у вас присутствуют - удаляйте, айболит их кстати находит), либо шелл вставляют вместо index.php любого шаблона.
gregzem, спасибо большое!
Очень шустро работает.
Добавил бы кошельки на странице для желающих поддержать скрипт или в будущем планируется платная версия? ))
Есть отличная идея для скрипта.
После запуска скрипт выдал мне список файлов с возможным размещением шеллов и я руками сравнивал эти файлы с оригиналами.
Почему бы не добавить папку с файлами для сравнения.
Т.е. перед проверкой закидываю я файлы от своей cms в эту папку, запускаю скрипт.
Скрипт сначала сравнивает различия в одноимённых файлах (размер, содержимое)
На выходе выдаёт
- Вывести файлы, которые различаются (с выводом куска кода. которые не совпали). Если это графические файлы или т.п. . то указать. что не совпал размер файлов.
-Вывести все имена файлов, которых не было в папке для сравнения
-Ну и вывести ту информацию, что отображается сейчас в скрипте + справа/ рядом с файлом написать результат сравнения с образцом
Для наглядности, нарисовал пример
[ATTACH]106994[/ATTACH]
$strings = array("Web Shell by boff", "Web Shell by oRb", "devilzShell", "Shell by Mawar_Hitam", "N3tshell", "Storm7Shell", "Locus7Shell", "private Shell by m4rco", "w4ck1ng shell", "FaTaLisTiCz_Fx Fx29Sh", "r57shell.php", "default_action = 'FilesMan'");
Добавил в базу.
Вот ещё идейка: довольно часто, если на аккаунте много сайтов, дополнительные домены лежат не в отдельных корневых папках, а находятся как внутренние папки в папке основного домена. Когда таких дополнительных сайтов много, у скрипта нет шансов отработать - слишком много файлов. В итоге я могу по отдельности проверить папки дополнительных доменов, но не могу проверить папку основного домена. Нужна настройка, чтобы можно было игнорировать папки, являющиеся доменными именами (например, игнорировать папки первого уровня, содержащие в названии точку).
Проблема с недостаточным временем на отработку скрипта решается очень просто - нужно запустить его из командной строки. Я уже про это писал. Не вижу особого смысла реализовывать сложный механизм отсеивания директорий, сканирования по частям, перезапуск на ajax и пр. Все это очень сложно и особой выгоды не дает. Запускаем из под SSH и все (я ранее уже писал про это).
---------- Добавлено 10.04.2012 в 18:07 ----------
gregzem, спасибо большое!
Очень шустро работает.
Добавил бы кошельки на странице для желающих поддержать скрипт или в будущем планируется платная версия? ))
Платную не планирую. А на счет "отблагодарить" - вот страничку пожертвований сделал. Милости прошу: http://revisium.com/ai/others.php
Есть отличная идея для скрипта.
После запуска скрипт выдал мне список файлов с возможным размещением шеллов и я руками сравнивал эти файлы с оригиналами.
Почему бы не добавить папку с файлами для сравнения.
Идея хорошая и понятная. Спасибо. Хотя реализовывать ее, дюже гемморно, да и пользоваться ей будет мало пользователей. Я ее записал (вообще я все пожелания записываю) и, возможно, когда-нибудь сделаю.
---------- Добавлено 10.04.2012 в 18:12 ----------
Профессионалы может и обфусцируют по несколько раз, но на практике это редко встречается. Обычно на сайтах они лежат стандартные.
А с сигнатурами поможем :). Я сейчас на всех сайтах, которые чищу, "гоняю" и ваш скрипт. Если попадутся шеллы, которые он не увидит - примеры естественно буду.
Да, просьба к пользователям. Если у вас появляется в списке подозрительных (но не шеллов) скрипт, и у вас есть чувство (или вы уверены), что это шелл или дорвей, пожалуйста, скиньте мне на мыло. Я добавлю сигнатуру. Спасибо.
Присылать это чудо нужно, естественно, в .zip архиве с паролем. У меня злой антивирус ))
Вот, что нашёл сегодня на своём заражённом сервере.
Айболит не нашёл
http://rghost.ru/37516707