Комментарии - gregzem - Профиль вебмастера - Форум об интернет-маркетинге

Скрипт для поиска шеллов и другого вредоносного по

22 мая 2013, 10:55

Новая версия скрипта AI-BOLIT

Изменения в версии 20130519

- Добавлены новые сигнатуры вирусов и шеллов

- Детектирование двойных расширений .php.<что-то>

- Добавлен аргумент -j (--file) для сканирования конкретного файла

- Добавлены .aknown файлы для Joomla 2.5.10, 2.5.11, 3.0.3, DLE 9.8

- Разные мелкие исправления

Качаем здесь: http://revisium.com/ai/

Скрипт для поиска шеллов и другого вредоносного по

3 мая 2013, 09:30

Вот 100% рабочий вариант: http://www.revisium.com/kb/scan_site_windows.html

Скрипт для поиска шеллов и другого вредоносного по

30 апреля 2013, 16:08

Solvedor:
А когда ждать очередное обновление? А то Joomla уже до версии 2.5.11 дошла :))

Числа пятого мая. Но вы можете проверять и 2.5.11 им. Не слишком много будет ложных срабатываний при использовании .aknow от 2.5.7/8

Общая тема о борьбе с шеллами и вирусами на сайте

25 апреля 2013, 06:58

Проверьте файлы index.php, engine/engine.php, engine/init.php, engine/data/config.php, engine/data/dbconfig.php, engine/classes/mysql*.php на предмет примерно такого кода

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: http://statuses.ws/');
}

Файлы примерно такие, как указано, можете посмотреть соседние еще. А код будет делать переброс на другой сайт.

Вообще, просканируйте AI-BOLIT'ом, он ищет их. http://revisium.com/ai/

Общая тема о борьбе с шеллами и вирусами на сайте

10 апреля 2013, 06:23

Есть немного косвенных признаков, по которым можно попробовать искать шеллы.

1. дата изменения файла .php (да, могут скрутить, могут перекрутить, но определить свежие шанс все-таки есть, например с помощью "find . -name '*.php' -mtime -7").

2. права на файл (например, все 644, а модифицированные шеллом 444)

3. имена файлов с ошибками (mod_sistem, futer.php, ... - наметанный глаз сразу видит такие)

4. однотипное заражение (если index.php в корне с eval(base64( - взять этот код и прошерстить по остальным файлам)

5. php файлы в каталоге images у joomla и подобная эвристика для других cms

Все остальное банальным сканированием по сигнатурам.

Скрипт для поиска шеллов и другого вредоносного по

9 апреля 2013, 15:31

Да, можно приобрести офиц. лицензию на коммерческое использование. Напишите мне, если потребуется.

Общая тема о борьбе с шеллами и вирусами на сайте

1 апреля 2013, 07:40

Работайте тогда с командной строкой:

http://forums.devshed.com/unix-help-35/unix-find-and-replace-text-within-all-files-within-a-146179.html