:-)
Анализировать. Проверять подозрительные файлы. Удалять вредоносный код.
Новый релиз AI-BOLIT. Самое заметное в этом обновлении - это большое количество новых сигнатур шеллов, вирусов и другого вредоносного ПО, которое я находил за последний месяц у клиентов (теперь в базе кроме шеллов еще irc боты, спам-рассыльщики и другая зараза).
Изменение в версии 20121014
- новые сигнатуры шеллов и вирусов (170 новых сигнатур шеллов и вирусов)
- игнорирование символических ссылок на каталоги и файлы (на случай зацикливания)
- добавился блок показа конфигурации PHP при запуске из браузера и что надо "подкрутить"
- реализована проверка на тип сборки PHP. Из командной строки работает только когда есть php-cli (решает проблему с памятью)
- улучшена обработка внешних include и iframe вставок
- новое имя файла отчета: AI-BOLIT-REPORT-<дата>_<время>.html
- улучшенное отображение прогресса сканирования в командной строке
- добавлен режим отладки скрипта DEBUG_MODE
Очень рекомендую скачать обновление и проверить свой сервер.
http://revisium.com/ai/
Если обнаружите проблемы со скриптом, пишите в личку.
Спасибо. Это банальный WSO Shell. Он 100% определяется AI-Bolit'ом.
Пожалуйста, удалите ссылку из поста, чтобы в недобрые руки ненароком не попал.
Большинство с вами не согласно :)
Кстати, вы бы поделились своим уникальным шеллом. А то скрипт поругали, но сам шелл как бы не показали. Как говорится "критикуя - предлагай".
Вы, возможно, даже и запускали его не под SSH. Из браузера скрипт сканирует только .php, .js и .html. Если шелл в картинках или с другими расширениями, он найдет только при запуске из командной строки. Вообще, интересно было бы взглянуть на отчет, может шелл он нашел в "Подозрительных", а вы не посмотрели этот блок. В общем, много вопросов остается по вашему спорному заявлению.
Скажите, у вас случайно PHP не как CGI работает? Судя по всему проблема с памятью возникает только тогда, когда из командной строки скрипт запускается обработчиком PHP, работающим как CGI.
Проверить можно так. Открываете консоль по SSH, пишете
php -v
Если написано, что PHP CLI, то хорошо, а если PHP CGI, то нужно спросить саппорт хостинга, где у них PHP CLI и запускать с помощью него.
Для тех, кто не знаком с терминологией объясню по-простому:
PHP CGI - это сборка PHP для генерации веб-страниц
PHP CLI - это сборка PHP для работы в качестве независимого интерпретатора, для запуска в командной строке.
Кстати, обновил FAQ: http://revisium.com/ai/faq.php
Какие баги?
Пожалуйста, не флудите в теме. Давайте будем придерживаться регламента :) Тема - "скрипт AI-Bolit".
Думаю, дело не в памяти. Скорее всего у вас на хостинге есть рекурсивный симлинк (иногда создают public_html, который ссылается на каталог основного домена) и скрипт просто зацикливается, пытаясь проверить один и тот же каталог вглубь. Планирую это учитывать в следующей версии. Проверьте, если есть такое, просто добавьте этот каталог в .adirignore.
Вы же понимаете, что если скрипт не работал бы на шаред-хостингах, то не было бы его обсуждения на 20 страниц в этом топике ;) Просто есть какая-то специфика конкрентно на ваших. Еще раз повторюсь: есть вопросы - в личку или на мыло.
Вы очень категоричны. Постоянно проверяю сайты им, все работает. Есть вопросы - присылайте доступ по SSH на audit [зобако] revisium.com, я посмотрю, что там у вас.
Проверьте права на чтение в текущей директории, в которой проверяете, и права на чтение самой директории.
Решил все-таки его добавить в "красные". Бывает, что его используют без ведома хозяина сайта.
Вынужден вас разочаровать. На античате целый раздел с уязвимостями DLE.
