Скрипт для поиска шеллов и другого вредоносного по

gregzem
На сайте с 22.11.2004
Offline
134
#41
bork75:
Вот, что нашёл сегодня на своём заражённом сервере.
Айболит не нашёл
http://rghost.ru/37516707

Проверил последней версией (та, что на сайте) - все определил как шеллы. Попробуйте ей.

Антивирус для ISPmanager (https://revisium.com/ru/products/antivirus_for_ispmanager/) | Антивирус для Plesk (https://plesk.revisium.com) | Профессиональное лечение и защита сайтов (https://revisium.com/)
freeman12
На сайте с 24.08.2008
Offline
92
#42

У меня на ДЛЕ сайте скрипт пишет:

Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт:

./engine/inc/dumper.php

В самом файле dumper.php:

Sypex Dumper Lite version 1.0.8b |
| (c)2003-2006 zapimir zapimir@zapimir.net http://sypex.net/ |
| (c)2005-2006 BINOVATOR info@sypex.net |
|---------------------------------------------------------------------------|
| created: 2003.09.02 19:07 modified: 2006.10.27 03:30

Опасное что-то?))

Кстати он так на все ДЛЕ сайты ругается) У них этот файл по умолчанию в движке.

bork75
На сайте с 14.11.2011
Offline
93
#43

Был не прав. Айболит всё вычислил точно. Я его запустил уже на чистом сайте.

Перетащил скрипт (не обновлённый) в ещё не проверенный сайт и он всё точно определил.

Лишнее подтверждение, всё отлично работает.

То, что я сегодня пол дня руками вычислял, скрипт за несколько секунд поймал ))

freeman12:
У меня на ДЛЕ сайте скрипт пишет:
В самом файле dumper.php:

У меня тоже ругнулся, это нормально

Там есть, например упоминание chmod что в шеллах может использоаваться

gregzem
На сайте с 22.11.2004
Offline
134
#44
freeman12:

Опасное что-то?))
Кстати он так на все ДЛЕ сайты ругается) У них этот файл по умолчанию в движке.

Ну, вообще, с помощью него можно легко слить всю базу и утащить себе. Я на всякий случай добавил в сигнатуры. Лучше подстраховаться, потому что некоторые заливают его отдельно, чтобы воровать БД.

Z
На сайте с 01.06.2008
Offline
182
#45
gregzem:
Ну, вообще, с помощью него можно легко слить всю базу и утащить себе

Как тогда защититься от этого? удалить этот файл?

gregzem
На сайте с 22.11.2004
Offline
134
#46

Выложил новую версию:

Изменения в версии 20120412

- добавлена сигнатура спам-скрипта

- вместе с файлами отображается дата и время создание файла

- файлы .js добавлен к списку сканируемых обязательно

- добавлена эвристика для анализа троянов в javascript

- добавлена проверка кол-ва директорий дорвеев

- запуск с паролем из браузера и без пароля из командной строки

http://revisium.com/ai/

Redbaron _chaos
На сайте с 12.08.2009
Offline
667
#47

Cпасибо. Проверяю.

На одном сайте столкнулся с такой штуковиной, запускаю скрипт. А у меня сайт обновляется и пишет, такой страницы не найдено)

Гемблинг, беттинг, крипта на весь мир в 3snet, 1500+ офферов. ( https://clck.ru/TdZLM )
WebGomel
На сайте с 29.10.2011
Offline
77
#48
Redbaron_chaos:

На одном сайте столкнулся с такой штуковиной, запускаю скрипт. А у меня сайт обновляется и пишет, такой страницы не найдено)

такое бывает при определённых правилах в .htacess

На время проверки переименуйте его например в htacess.txt, чтобы правила эти не действовали.

Рекомендую хостинг в Беларуси (http://login.by/aff.php?aff=007)
кот Бегемот
На сайте с 07.12.2009
Offline
278
#49

Открывается белая страница...

Яндекс Директ, Гугд адворс, не дорого и ответственно. Телеграмм @H_Ilin
vtomas
На сайте с 19.03.2007
Offline
102
#50
garik77:
Открывается белая страница...

то же самое, на версии скачанной десять минут назад.

Хорошее стоит дорого, на плохое не стоит и тратиться. В поисках VPS захостился здесь (http://ipserver.su), а бэкапы храню здесь (http://billing.markovservers.com/backup/pl.php?65).

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий