Форум Сайтостроение Веб-строительство

Скрипт для поиска шеллов и другого вредоносного по

123456789 ...51
gregzem
На сайте с 22.11.2004
Offline
134
gregzem
#11
zzzzz:
у меня везде пишет:
Всего проверено 0 директорий и 0 файлов...

Это значит на вашем хостинге у каталога, в который положили скрипт, нет прав на чтение. Сделайте chmod +r для корневого каталога, либо у скрипта поставьте владельца того же, что и у каталога.

---------- Добавлено 09.04.2012 в 10:57 ----------

Servus:
У меня отказался работать - Fatal error: Call to undefined function: scandir() in /var/www/********/********.com.ua/ai-bolit.php on line 210

Какая у вас версия php?

Антивирус для ISPmanager (https://revisium.com/ru/products/antivirus_for_ispmanager/) | Антивирус для Plesk (https://plesk.revisium.com) | Профессиональное лечение и защита сайтов (https://revisium.com/)
Яндекс выпустил антивирус для Яндекс напомнил вебмастерам, как 57% сайтов на WordPress
Master_globus
На сайте с 15.09.2006
Offline
113
Master_globus
#12

gregzem, Было бы не плохо, в случае появления на сайте подозрительного файла, на почту админа приходило письмо-уведомление.

Работаю только с diafan.CMS 4.4.0 (http://cms.diafan.ru/cms576/)
zzzzz
На сайте с 12.12.2006
Offline
204
zzzzz
#13
gregzem:
Это значит на вашем хостинге у каталога, в который положили скрипт, нет прав на чтение. Сделайте chmod +r для корневого каталога, либо у скрипта поставьте владельца того же, что и у каталога.

Права поставил, теперь открывается белая страница :(

/////
gregzem
На сайте с 22.11.2004
Offline
134
gregzem
#14
zzzzz:
Права поставил, теперь открывается белая страница :(

Что-то, видимо, не то поменяли. Я смогу помочь, если будет FTP доступ.

---------- Добавлено 09.04.2012 в 12:23 ----------

Master_globus:
gregzem, Было бы не плохо, в случае появления на сайте подозрительного файла, на почту админа приходило письмо-уведомление.

В перспективе так и планировалось. Но это уже другого класса скрипт. Чуть серьезнее )

Яндекс.Навигатор научился строить маршруты Google Analytics Summit: новинки В Telegram теперь можно
Jaf4
На сайте с 03.08.2009
Offline
804
Jaf4
#15
gregzem:
В перспективе так и планировалось. Но это уже другого класса скрипт. Чуть серьезнее )

Очень ждем..

Вопрос такой, как правильно поставить его на дедик так, чтобы просмотрел всю папку www (сайтов около 70-ти)?

New! NVMe VPS от SmartApe.ru (https://goo.gl/eoYYkS)
P
На сайте с 18.10.2007
Offline
89
pwd
#16

Я обычно пользовался шельником find + grep + mail по крону, преимуществ в реализации http не вижу.

Тем не менее большой респект за сигнатуры ! где вы их насобирали

---------- Добавлено 09.04.2012 в 16:48 ----------

да еще, я при помощи find выбирал файлы за время прошедшее с последней проверки , т.е. файлов проверяется значительно меньше, предлагаю предусмотреть вариант инкрементальной и полной проверки.

Google уже сканирует больше Google обрабатывает запросы на Mail . Ru Agent
Хортица
На сайте с 22.12.2006
Offline
289
Хортица
#17
gregzem:
А проверяли, действительно шелл не находит? Мне казалось, я добавлял.
Можете скинуть шелл, я добавлю сигнатуру, если ее нет?

Про типизацию файлов не очень понял. Растолкуйте, пожалуйста.

Может и я криво смотрел, но вот часть из того что не увидел у Вас: http://rghost.ru/37490877

По поводу типизации, вот картинка - http://rghost.ru/37490941 - откройте ее в текстовом редакторе точнее с помощью текстового редактора и посмотрите. О дальнейших действиях в целях безопасности рассказывать не буду, но тот кто понимает что с этим можно сделать, тот сделает и без меня.

Так вот собственно вопрос был в том - какие расширения файлов проверяет ваш скрипт? Опять же не увидел этого.

На XBit.Money (https://xbit.money/?rid=111) меняю крипту на гривны. Лучшие курсы Обмен Вашего PayPal/ЯД/QIWI/WebMoney и куча плюшек! Рекомендую (https://exchangex.ru/index.php?who=26749)
Бесплатные консультации по продвижению Как поставить счетчик на помогите с ф-цией include
gregzem
На сайте с 22.11.2004
Offline
134
gregzem
#18
Jaf4:
Очень ждем..
Вопрос такой, как правильно поставить его на дедик так, чтобы просмотрел всю папку www (сайтов около 70-ти)?

Надо положить на уровень выше www, зайти по ssh, запустить его из командной строки 

php ai-bolit.php > result.html

и посмотреть что получится.

---------- Добавлено 09.04.2012 в 14:27 ----------

pwd:
Я обычно пользовался шельником find + grep + mail по крону, преимуществ в реализации http не вижу.
Тем не менее большой респект за сигнатуры ! где вы их насобирали

По сусекам поскреб ) У меня много клиентских сайтов оказывается с шеллами были. Оттуда много навыгребал.

Да добрые люди помогли, подогнали несколько новых буквально на прошлой неделе.

pwd:

да еще, я при помощи find выбирал файлы за время прошедшее с последней проверки , т.е. файлов проверяется значительно меньше, предлагаю предусмотреть вариант инкрементальной и полной проверки.

Это все здорово, но конкретно этот скрипт проектировался как маленький и удаленький, самодостаточный и не требующий никакого хранилища. Конечно, можно реализовать и инкрементальную проверку (с сохранением предыдущих результатов) и отправку на email, и запуск по cron'у. Наверное, я все это сделаю, но чуть позже, и это будет отдельный скрипт.

---------- Добавлено 09.04.2012 в 15:11 ----------

Хортица:
Может и я криво смотрел, но вот часть из того что не увидел у Вас: http://rghost.ru/37490877
По поводу типизации, вот картинка - http://rghost.ru/37490941 - откройте ее в текстовом редакторе точнее с помощью текстового редактора и посмотрите. О дальнейших действиях в целях безопасности рассказывать не буду, но тот кто понимает что с этим можно сделать, тот сделает и без меня.

Так вот собственно вопрос был в том - какие расширения файлов проверяет ваш скрипт? Опять же не увидел этого.

Спасибо за архивчик. Добавил сигнатуры, обновил архив со скриптом http://revisium.com/ai/.

Про типизацию: по-умолчанию сканируются только .php*/.tpl/.inc/.htm*. Но если в скрипте поставить константу define('SCAN_ALL_FILES', 0); - будут анализироваться все файлы (включая картинок). Ваш .jpg файл тоже найдется.

Общая тема о борьбе Вирусы на клиентских аккаунтах Сканер вирусов и вредоносного
WebGomel
На сайте с 29.10.2011
Offline
78
WebGomel
#19

Тестировал сегодня этот скрипт на взломанной джумле, причём судя по количеству шеллов, их разновидности, и дате загрузки, взломанной не один раз - айболит показал себя на твёрдую четвёрку с плюсом :) gregzem спасибо.

Четвёрка, потому что не нашёл он FilesMan. Точнее, он его определил как потенциально опасный, но вот шеллом не назвал. Однако его же, но немного в другом исполнении нашёл.

Вот такой он увидел:

<?php
/*здесь идёт длинная закоментированная 
текстовая фигня, типа какого нибудь лицензионного
соглашения, или сказка А. С Пушкина */

!isset($_GET['check']) or die('OK');

$auth_pass = "4c56fdad8c8ccfb8ec62c74283ea9334";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\ блаблаблаP8C '\x29\x29\x29\x3B",".");?>

А вот такой нет:

<?php
/*здесь идёт длинная закоментированная 
текстовая фигня, типа какого нибудь лицензионного
соглашения, или сказка А. С Пушкина */

$auth_pass = "0a606b5b2966e150ea3c928e301a6506";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\x76\x блаблабла '\x29\x29\x29\x3B",".");?>

Хотя я смотрю вы его ещё не добавили. Походу что то совпало, там где у меня "блабла". А он довольно часто встречается

Удалённый системный администратор ( https://remadmin.com )
Троян внедрен в исходники Воровство мобильного трафика у Новый фильтр Яндекса?
A
На сайте с 24.12.2009
Offline
111
angelmarket
#20

При попытке запуска скрипта появляется сообщение об ошибке:

Fatal error: Call to undefined function: scandir() in /home/***/public_html/ai-bolit.php on line 217

Версия PHP 5.2.17

123456789 ...51

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий