Скрипт для поиска шеллов и другого вредоносного по

Если я правильно понял, под попыткой "вписать вирус" понимается вызов wp-cron.php? Часто такие вызовы делают "определялки" CMS (http://2ip.ru/cms/ вроде таких... которые определяют т.н. признаки наличия)

Это, похоже на ситуацию, когда кривой парсер обрабатывает JS-ссылки вроде

<a href='..:return;'>

По идее не должна.. если есть сомненья - можно дамп выгрузить и поиском по подстроке пробежаться.. Только что искать планируется?

---------- Post added 07-11-2012 at 12:07 ----------

Да.. а в wp-config вызов отключён? А то, может ещё и сам себя и вызывает?

define('DISABLE_WP_CRON', true);

Попробуйте сделать следующее:

1. закрыть доступ к админке через .htaccess (только для своего IP разрешать)

2. закройте в корневом .htaccess доступ к скриптам из wp-content, wp-include, чтобы нельзя было напрямую обращаться

3. попросите саппорт прописать настройки php

allow_url_fopen = Off

allow_url_include = Off

expose_php = Off

magic_quotes_gpc = On

register_globals = Off

disable_functions = popen,exec,system,passthru,proc_open,shell_exec,ini_restore,dl,symlink,chgrp,ini_set,putenv, extension_loaded,getmyuid, fsockopen,posix_setuid,posix_setsid,posix_setpgid,posix_kill,apache_child_terminate,chmod,chdir, pcntl_exec,phpinfo,virtual,proc_close,proc_get_status,proc_terminate

safe_mode = On

4. Еще раз обновите CMS и плагины (самые свежие версии)

5. попросите саппорт поставить срок ротации логов - 1 месяц, чтобы насобирать статистику

Думаю, после первых четырех пунктов вероятность взлома значительно уменьшится.

Но надо сделать все это быстро, одно за другим в течение нескольких часов.

С анализом логов обращайтесь если что в личку или на email.

Хороший скрипт. Много всего нашёл в коде. Разработчику спасибо!

САПА загнется.. :)

Потом это внешняя линия обороны. Хрень влезает в захитаксесенные папки и внутри них меняет права доступа к файлам и меняет права доступа у папок. Через хттп так не сделать, она где-то внутри сидит...

Ну да, внешняя, речь-то изначально про это была. Исходный посыл был такой:

Ну тут или сапа, или сайт :-)

Кстати, придумалась вот хитрая такая схема (если хостинг позволяет). Настроить запуск скрипта, выгребающего ссылки сапы по крону, причем настроить в .htaccess, чтобы он выполнялся другим php интерпретатором, из под php-cgi. В настройках этого php-cgi в php.ini разрешить внешний коннект. А сам сайт путь работает на PHP как модуль Apache Handler, у него надо "затянуть болты". У вас и ссылки будут, и наружу никто слать запросы не будет.

То, что "влезает", обычно детектится айболитом. Обычно, это обфусцированный код в .php файлах - в самом начале или в самом конце (бывает, по сотне файлов к ряду заражено): код проверяет наличие редиректов в .htaccess и, если нет, добавляет свой редирект.

Поставил max_execution_time = 18000 а все равно выдается 504 Gateway Time-out. Что еще может быть не так?

Запускайте из командной строки.

---------- Добавлено 07.11.2012 в 16:19 ----------

Нашел одну ошибку в скрипте - неправильно размеры файлов и время бралось, поправил и загрузил новый архив. Кто качал - возьмите новую. Спасибо.

http://revisium.com/ai/

6666

Надо все поставить по новой.

Как советовали выше, попросить ротацию логов сделать месяц.

Как только будет взлом - смотреть все логи. так 90% что дыра будет найдена.

to 6666 Вас ломают через соседей по шареду

есть скрипты при заливе на сервер позволяют видеть домены, ходить по папкам доменов, заглядывать в config файлы....

вот скрин как примерно это выглядит

Да я смотрю все логи. Тех, кто пытается использовать скрипты извне, вычислить легко. А кто "подготавливает" для них файлы, меняет на них права доступа найти не представляется реальным. По крайней мере по логам.