Замучили шеллы? Скрипт для поиска шеллов и другого вредоносного ПО

Тема в разделе "Мелочи", создана пользователем TopReseller, 10 апр 2012.

  1. TopReseller

    TopReseller

    Регистр.:
    30 июл 2011
    Сообщения:
    321
    Симпатии:
    116
    Я не автор - встретил в сети и подумал что будет полезно многим.
    На своих сайтах проверил, работает

    Бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге
    http://www.revisium.com/ai/
    Скрипт AI-Bolit умеет делать следующее:

    • искать вредоносные и хакерские скрипты на хостинге: шеллы по сигнатурам, шеллы на основе несложной эвристики
    • искать редиректы в .htaccess на вредоносные сайты
    • искать код sape/trustlink/linkfeed в .php файлах
    • определять дорвеи
    • показывать директории, открытые на запись
    • искать пустые ссылки (невидимые ссылки) в шаблонах

    Зачем нужен этот скрипт?
    Опытный хакер может взломать практически любой сайт и ваш сайт может быть не исключением. Чем опасен взлом сайта?
    Получив доступ к вашему сайту злоумышленники могут выполнить следующее:
    • Скачают содержимое сервера и базы данных для продажи третьим лицам
    • Подменят контактные или платежные данные на сайте, скачают персональные данные пользователей
    • Разместят на вашем сайте дорвеи со спам-ссылками
    • Внедрят на страницы сайта вирусы, трояны или эксплойты, заражая посетителей
    • Проведут с вашего сервера спам-рассылку
    • Продадут доступ к взломанному сайту другим злоумышленникам для последующего несанкционированного проникновения
    • и прочее.
    Как пользоваться скриптом

    1. Скачать архив со скриптом
    2. Распаковать и загрузить в корневой каталог сайта
    3. Открыть в браузере http://ваш_сайт/ai-bolit.php
    Возможны ложные срабатывания, возможно, что-то не найдется. Но, как показала практика, основная масса проблем определяется очень хорошо.

    Много ответов на вопросы вот тут:
    http://forum.searchengines.ru/showthread.php?p=10263575
    http://forum.sape.ru/showthread.php?p=1229254#post1229254
    http://mastertalk.ru/topic143755.html
    http://webmasters.ru/forum/f26/skript-poiska-vredonosnogo-po-na-hostinge-27796/
     
    *SaT* нравится это.
  2. gregzem

    gregzem

    Регистр.:
    21 окт 2007
    Сообщения:
    202
    Симпатии:
    66
    Спасибо за анонс. Я автор :)
     
    Extalionez, b7186, Acet0n и 5 другим нравится это.
  3. efs

    efs SEO оптимизатор дискрипторов одностраничных сайтов

    Moderator
    Регистр.:
    20 ноя 2009
    Сообщения:
    833
    Симпатии:
    489
    добавьте в скрипт, чтобы он указывал какая строка файла ему не по нраву, а то поди угадай что из нескольких тысяч строк для скрипта "подозрительно"
     
    gregzem, vap76 и TopReseller нравится это.
  4. gregzem

    gregzem

    Регистр.:
    21 окт 2007
    Сообщения:
    202
    Симпатии:
    66
  5. gregzem

    gregzem

    Регистр.:
    21 окт 2007
    Сообщения:
    202
    Симпатии:
    66
    Вчера сделал очередной релиз скрипта. Добавилась возможность запуска из командной строки, сохранение отчетов в файл и отправка по email, обновились сигнатуры и добавились всякие UI вкусности. Качать здесь http://revisium.com/ai/
     
    pavlenkora, Xansen, latteo и ещё 1-му нравится это.
  6. gregzem

    gregzem

    Регистр.:
    21 окт 2007
    Сообщения:
    202
    Симпатии:
    66
    Новая версия - теперь умеет декодировать файлы, в которых некоторые символы заданы эскейп-последовательностями. +новые сигнатуры.
    http://revisium.com/ai/
     
  7. Haliff3007

    Haliff3007 Читатель

    Заблокирован
    Регистр.:
    17 мар 2007
    Сообщения:
    481
    Симпатии:
    195
    Cделайте фишку - просмотр файла и его удаление.
     
  8. saab

    saab Постоялец

    Регистр.:
    22 янв 2010
    Сообщения:
    74
    Симпатии:
    39
    Пароль в урл как-то некошерноo_O
     
  9. gregzem

    gregzem

    Регистр.:
    21 окт 2007
    Сообщения:
    202
    Симпатии:
    66
    Скрипт не должен храниться на хостинге по соображениям безопасности. А еще лучше запускать его из командной строки, там пароль не нужен.
     
  10. HorriganF

    HorriganF Постоялец

    Регистр.:
    13 май 2010
    Сообщения:
    143
    Симпатии:
    30
    gregzem, находит ли шеллы, которые прошли обфускацию пхп-кода на бесплатных онлайн-сервисах?