Скрипт для поиска шеллов и другого вредоносного по

скрипт замечательный

есть правда вопрос - один из сайтов он все таки проверить не смог -сколько памяти не выделяй ему все мало)

как запустить его чтоб по 1 папке за раз проверял?

Скажите, у вас случайно PHP не как CGI работает? Судя по всему проблема с памятью возникает только тогда, когда из командной строки скрипт запускается обработчиком PHP, работающим как CGI.

Проверить можно так. Открываете консоль по SSH, пишете

php -v

Если написано, что PHP CLI, то хорошо, а если PHP CGI, то нужно спросить саппорт хостинга, где у них PHP CLI и запускать с помощью него.

Для тех, кто не знаком с терминологией объясню по-простому:

PHP CGI - это сборка PHP для генерации веб-страниц

PHP CLI - это сборка PHP для работы в качестве независимого интерпретатора, для запуска в командной строке.

Кстати, обновил FAQ: http://revisium.com/ai/faq.php

Скрипт аболютно бесполезный. На сайте был шелл, через который люди прописывали себя админами (DLE). Делал им полный скан файл, ничего он не нашел.

Далее, взломали сайт настолько откровенно что стали любую ссылку редиректить на порно сайт.

Так и с таким вирусом эта херня ничего не нашла.

Штука бесполезная, от пабликов шелов не более.

Большинство с вами не согласно :)

Кстати, вы бы поделились своим уникальным шеллом. А то скрипт поругали, но сам шелл как бы не показали. Как говорится "критикуя - предлагай".

Вы, возможно, даже и запускали его не под SSH. Из браузера скрипт сканирует только .php, .js и .html. Если шелл в картинках или с другими расширениями, он найдет только при запуске из командной строки. Вообще, интересно было бы взглянуть на отчет, может шелл он нашел в "Подозрительных", а вы не посмотрели этот блок. В общем, много вопросов остается по вашему спорному заявлению.

Делюсь шеллом. Файл index2.php.

Ссылка

Спасибо. Это банальный WSO Shell. Он 100% определяется AI-Bolit'ом.

Пожалуйста, удалите ссылку из поста, чтобы в недобрые руки ненароком не попал.

Новый релиз AI-BOLIT. Самое заметное в этом обновлении - это большое количество новых сигнатур шеллов, вирусов и другого вредоносного ПО, которое я находил за последний месяц у клиентов (теперь в базе кроме шеллов еще irc боты, спам-рассыльщики и другая зараза).

Изменение в версии 20121014

- новые сигнатуры шеллов и вирусов (170 новых сигнатур шеллов и вирусов)

- игнорирование символических ссылок на каталоги и файлы (на случай зацикливания)

- добавился блок показа конфигурации PHP при запуске из браузера и что надо "подкрутить"

- реализована проверка на тип сборки PHP. Из командной строки работает только когда есть php-cli (решает проблему с памятью)

- улучшена обработка внешних include и iframe вставок

- новое имя файла отчета: AI-BOLIT-REPORT-<дата>_<время>.html

- улучшенное отображение прогресса сканирования в командной строке

- добавлен режим отладки скрипта DEBUG_MODE

Очень рекомендую скачать обновление и проверить свой сервер.

http://revisium.com/ai/

Если обнаружите проблемы со скриптом, пишите в личку.

проверил сейчас один свой блог - чего там только нет - код по продаже ссылок (я его не ставил), директории в которых подозрительно много файлов .php подозрение на дорвей, код который часто используются во вредоносных скриптах и ещё много чего. может скрипт просто страху нагоняет? и что делать теперь со всем этим добром?

:-)

Анализировать. Проверять подозрительные файлы. Удалять вредоносный код.

ещё бы знать как это делается) давайте я вам пришлю в личку содержание файла functions.php, ваш скрипт нашёл в нём скрипт по продаже ссылок. а вы посмотрите есть там такой скрипт или нет. а то я никогда его не видел и с автоматическими биржами никогда не работал. поэтому даже не в курсе как он выглядит.

---------- Добавлено 27.10.2012 в 16:17 ----------

всё ясно. в кусты сразу.