Всем отвечаем в течение суток.---------- Добавлено 26.06.2012 в 13:11 ----------
У нас для каждого пользователя выполняется сброс базы и настроек, и тестирование идет на отдельном сайте в режиме чтение/изменение/удаление. Если предоставлять доступ одновременно всем, то первый, кто удалит структуру рубрик лишит остальных удовольствия созерцать объявления и рубрики до сброса базы, которую придется делать или раз в час, или раз в день. Это позволяет давать доступ не только в режиме "только для чтения".
Если у вас есть предложения, как можно улучшить раздачу демо - буду рад выслушать идеи.
Основной контент находится на форуме. Такова реализация сайта.
Увы, демо только на нашем сервере.---------- Post added 25-06-2012 at 17:18 ----------
Дизайн делаю наши партнеры, уточнить можно у них http://sale.qpl.ru/forum/viewtopic.php?f=4&t=765.---------- Post added 25-06-2012 at 17:18 ----------
Не совсем. По запросу высылается демо на одном из наших серверов. Форма для демо запроса: http://sale.qpl.ru/feedback/
Забавно. Но в чудеса я не верю. Кстати, файл какой версии? Вы по таким вопросам лучше мне в личку пишите, или на email.
Видимо хакерам не нравится, что их начали вычислять, скорее всего компрометация с их стороны. Но это звоночек, что на сайте есть дыра. И в нее скорее всего уже пролезало что-то пострашнее скрипта ai-bolit.php (кстати, именно это его настоящее название).
К слову, сегодня вышла новая версия. В нем теперь около 170 сигнатур (по сути все, что я смог найти на хакерских сайтах). Остались либо "самоделки", либо что-то, что тщательно скрывают. Но, думаю, 80% смогу отловить (если будут не слишком обфусцированы).
И еще важное объявление всем:
1. Проверьте у себя на хостинге (особенно Wordpress, Jumla, Drupal) файл thumb.php, timthumb.php. Если версия < 2.0, то в нем есть серьезная уязвимость, позволяющая загружать на хостинг вредоносные скрипты. Срочно меняйте его на свежий (в гугле поищите линк, там будет версия 2.8).
2. Проверьте у себя уязвимость http://blog.spiderlabs.com/2012/05/honeypot-alert-active-exploit-attempts-for-php-cgi-vuln.html
Если у вас есть, тоже пора начинать волноваться, потому что скорее всего злые люди ей воспользовались
Спасибо за внимание.---------- Post added 24-06-2012 at 18:07 ----------
В полный рост :)
Изменения в версии 20120622
- появился список игнорируемых файлов .aignore
- добавлена возможность просмотра файла
- добавлены сигнатуры шеллов
- есть возможность скрыть в отчете показ директории открытых на запись
- в подозрительные добавлены подстроки, появляющиеся в обфусцированных скриптах
- добавлена проверка на наличие хакерских тулзов для FreeBSD
- несколько багфиксов
Теперь можно ткнуть в имя файла и посмотреть его полное содержимое.
А еще в этой версии я все-таки решил реализовать список игнорируемых файлов (по фрагменту имени и контрольной сумме). Можно вручную создать файл .aignore и положить в него
фрагмент имени файла1<табуляция>контрльная сумма1
фрагмент имени файла2<табуляция>контрльная сумма2
...
А можно просто кликать по значениям столбца CRC32, а потом внизу скопировать из формы содержимое в файл. Если вам надоело наблюдать длинный список ложносрабатываемых файлов из джумлы, tinyMCE или друпала, просто создайте свой собственный .aignore и положите его рядом с ai-bolit.php.
Качаем свежую версию http://revisium.com/ai/ с обновленными сигнатурами.
Скоро сделаю еще много полезных фишек в скрипте. Следите за апдейтами.
/* Меня по-прежнему можно отблагодарить в любой удобной для вас форме :) */
Попробуйте отключить антивирус. Говорят, из-за него.
Скрипт анализирует подозрительные вхождения, которые часто используются в шеллах. Например, ini_get('safe_mode'). Поэтому и подозревает.
http://revisium.com/ai/ справа на странице есть инструкция "Как пользоваться скриптом". А еще есть FAQ: http://revisium.com/ai/faq.php
Изменения в версии 20120613
- добавлены 6 сигнатур шеллов
- добавлены 3 сигнатуры JS вирусов
- добавил вызов set_time_limit(0) в скрипт
- исправлена работа с расширениями для php
- учитывается .phtml при проверке на сигнатуры, добавлено расширение .khtml
- добавлено детектирование auto_append_file/auto_prepend_file в .htaccess
- вывод списка найденных невидимых ссылок
- добавил определение stripos, если ее нет в PHP
- исправлено несколько мелочей
Качаем http://revisium.com/ai/. Рекомендую проверять хостинг в режиме "все файлы" хотя бы раз в месяц. В качестве бонуса вот еще статейку написал: http://www.revisium.com/kb/protect_advice.html
Посмотрите файл .2report.html. А еще есть FAQ: http://www.revisium.com/ai/faq.php пункт 10.
А если добавить
--report=PATH Filename of report html, by default '.2report.html' is used, relative to scan path Enter your email address if you wish to report has been sent to the email. You can also specify multiple email separated by commas.
тогда можно указать - где будет отчет. Можно указать email, можно путь до файла.
