Скрипт для поиска шеллов и другого вредоносного по

Если есть конкретные вопросы, вы можете написать на email, указанный в отчете. Там справа в углу такая красная табличка с текстом и ссылкой на контакты.

А скрипт предназначен для тех, кто понимает зачем он и знает что делать с его результатами. А не знаешь\не умеешь - 2 выхода: учиться или нанимать специалистов. Разрабы любого ПО ни как не обязаны разбираться с пользовательскими приобретёнными проблемами. Ты же не будешь писать\звонить в ДженералМоторс, если у тебя в салоне муха нагадила.

Как-то так.

отписался вам в личку на форуме. посмотрите если не трудно.

Новая версия AI-BOLIT. Изменение в версии 20121106:

- новые сигнатуры, включая несколько троянов в бесплатных темах wordpress

- автоопределение версии Wordpress, DLE, ShopScript Premium и Bitrix

- поиск "чувствительных" файлов и директорий (раскрывающих версии установленного ПО, временные файлы с экспериментами), которые следовало бы удалить

- исправлен Warning с ereg()

Качать отсюда: http://revisium.com/ai/

Рекомендую перепроверить ваши сайты новой версией AI-BOLIT с запуском из командной строки (через SSH).

Пользуясь случаем - анонсирую новый сервис для проверки серверного мобильного редиректа: http://zorrobot.ru/tool/ (сервис будет по мере возможности расширяться, и еще, наверное, проверять вирусы и т.п.)

....удалял вообще все.. подчистую. Менял все пароли, доступ SSH вообще удалил. Скачал новый, чистый браузер. Поменял все мыслимые пароли. Что делать дальше, хрень все равно прорывается.

---------- Добавлено 07.11.2012 в 00:00 ----------

Каким-то образом кто-то (что-то) продолжает пытаться вписать вирусы, хотя на сайте вообще файлов нет, просто пустая папка:

---------- Добавлено 07.11.2012 в 00:02 ----------

и вот такая фигня, какая-то странная команда:

может просто сама дыра осталась, через которую льют?

Ну да. Собственно вопрос дня - где она. )

gregzem, спасибо за скрипт.

Одно из четырех:

1. не все вычистили из кода (если изменения внесены непосредственно в движок, типа минишелла какого-нибудь, вида @eval($_GET['p']) или того же самого, но завуалированного в array_map() или preg_replace_callback(), или sort() - миллион вариантов.

2. не все дыры закрыли в движке, плагинах или темах (не факт, что закрыв все публичные уязвимости, к вам не заходят с черного хода, про который публика не знает)

3. если у вас VDS/VPS/дедик, то могли рутануть сервер

4. кривые настройки сервера на хостинге (например, версия php-cgi с уязвимостью)

1. Так заново все заливал, с государственного сайта, стирал все, кроме жипегов

2. плагины вообще все стер, темы тоже кроме государственной, самой простой

3. шаред

4. ...может

5. А в БД эта гадость могла вписаться?