Инструмент для защиты сайтов - Ваше мнение?

Как на счет таких шеллов http://habrahabr.ru/post/193986/

Спасибо за интересный образец :)

После добавления соответствующего признака в базу сканера, непосредственно шелл по указанному адресу, после сохранения его кода в файл и проверки сканером, определяется с рейтингом 47 (чем выше рейтинг - тем вероятнее угрозы, рейтинг 50 является пограничным, между подозрительными и наверняка опасными файлами).

Но честно признаюсь - такой шелл мне еще на глаза не попадался, поэтому сканер небыл обучен на него реагировать.

Вот файлы типа

<?php ${"\x47\x4c\x4fBA\x4c\x53"}["\x78\x6e\x77bez\x6ee\x6d\x77"]="\x6b\x6b";${"GL\x4fBA\x4c\x53"}["\x6f\x74xsjg\x6c"]="v";${"\x47\x4c\x4fBA\x4cS"}["\x69dx\x6b\x74u\x66\x73\x76\x76"]="\x6b";${"\x47L\x4f\x42A\x4c\x53"}["\x6e\x75\x78o\x65\x6a\x6f\x6bq\x62\x6da"]="\x5f\x61";${"\x47\x4cO\x42\x41\x4c\x53"}["\x6a\x6f\x66\x6b\x6c\x66if"]="_\x62";${"GLO\x42\x41L\ blah-blah-blah

А теперь и шелы типа того, что по ссылке :)

Хочу заметить, что сканирование выполняется не по сигнатурам в привычном понимании, а по "признакам", исходя из количества и совокупности которых, выстраивается "рейтинг" угрозы. Т.е., это ближе к эвристическому анализу.

При обнаружении файлов, которые сканер не распознает как угрозу - прямо в сканере есть кнопка "отправить на анализ". Добавление признака в базу дело пяти минут. База обновляется при каждом сканировании.

Как то так.

---------- Добавлено 27.10.2014 в 12:35 ----------

Справедливости ради добавлю - maldet этот шел определяет:

{HEX}php.cmdshell.nan.302

Интересует, только я из чайников наверное, но ломать задолбали.

Спасибо за интерес.

Ответил в ПМ.

Буду благодарен за любые отзывы и комментарии, и чтобы не повторяться, готов отвечать в этой теме.

Мне кажется, что создание этого инструмента ни к чему не приведёт, так как:

антивирусы тоже делали всё круче и круче и вирусы после этих антивирусов создавались всё круче и круче!

Принципы работы, нагрузку - можно увидеть?

Если можно без посылов, а тут.

Коротко, ясно, по делу

прогресс, эволюция, или вы предлагаете остановиться и всё )

Я не это имел в виду!:)

Я не говорю останавливатся, я говорю что создание инструмента не к чему не ни приведёт, но может в начале это будет помогать, но через время уже нет! ☝☝

Есть же вроде на рынке тот же айболит. Какие преимущества у вашей системы?

Могу от себя поделиться информацией. Пользуюсь уже почти месяц. В целом инструментом доволен. Сайт у меня старый, сделан из кучи старых скриптов, с кучей доработок от меня лично. Держать в бодром состоянии такое хозяйство тяжело. Установил, в первую очередь прогнал сканером. На хостинге более 80 тыс. файлов, проверка заняла часа 3. Шелов и бекдоров не оказалось, но было найдено несколько факторов, снижающих безопасность. Например, оказалось, что у меня .htaccess был с правами 777 в некоторых папках.

Удобно отслеживание новых и изменившихся файлов. Сами понимаете, если файлов 80 тыс., вспомнить который из них нужен, который нет нереально. Пару недель собиралась статистика потом только разрешал или не разрешал доступ к отдельным файлам.

Правда желательно разделить файлы, которым можно давать доступ из www, от тех, которые инклюдятся, отписал об этом разработчику, обещал сделать.

Основная фишка - фильтрация запросов. В логах посмотрел - чего там только нет, ищут видимо боты стандартные дыры в скриптах. Фильтрует очень хорошо.

Увеличения нагрузки на сервер не заметил. Посещаемость правда, у меня не очень большая 2-3к в сутки.