Как проверить скрипт на шелы и бэкдоры

Тема в разделе "Защита и взлом", создана пользователем arsen, 26 дек 2012.

Статус темы:
Закрыта.
  1. arsen

    arsen НЕрядовой

    Регистр.:
    16 июн 2011
    Сообщения:
    855
    Симпатии:
    305
    Как проверить варезный скрипт на шелы и бэкдоры.интресны любые дельные и не очень советы кроме"не качайте варезные скрипты"
     
    evolvent нравится это.
  2. WiZXaK

    WiZXaK Причиняю добро

    Регистр.:
    8 сен 2012
    Сообщения:
    579
    Симпатии:
    797
    Визуально сканить код со знаниям программиста :)
    1) - Существуют "сканеры сайтов". Например: Shell and Backdoor Script Finder (видел тут).
    Как и любой "антивирь", обережет от основных нападков, но 100% гарантии не даст.
    2) Так же есть онлайн проверки сайта на наличие всякой дряни (меньше всего эффективности как по мне)
    3) Услуги хостера - сканер вредоносного кода (если есть).

    P.S: Тема на форуме
     
    Asin и arsen нравится это.
  3. arsen

    arsen НЕрядовой

    Регистр.:
    16 июн 2011
    Сообщения:
    855
    Симпатии:
    305
    Конечно визуально-самый надежный,
    из остальных пробовал антивирь( так себе) и сканер кода (гасит и своих и чужих)
     
    evolvent нравится это.
  4. x1024

    x1024 Писатель

    Регистр.:
    17 окт 2012
    Сообщения:
    7
    Симпатии:
    4
    Зачастую, человек не сведущий в программировании врядли заметит "бяку" в скриптах. Полагаться на программные средства нельзя, т.к. они отловят только самые бородатые вкрапления бэкдоров и шеллов, причем те, которые не подвергались модификации.

    Предлагаю простую логику проверки, но предупреждаю, что знания рассматриваемого скрипта необходимы, иначе все в пустую.

    0 этап. Прогоняем известными нам антивирями. Эффективно так же прогнать через линуксовый ClamAV.

    1. Самое безобидное что может быть -- это встраивание скрытых ссылок на сторонние ресурсы.
    Цель: повысить кол-во ссылающихся доменов на целевые страницы(сайты), тем самым поднять рейтинг у поисковиков.
    Решение: прогнать поиском в файловом менеджере по всей директории с условием поиска в тексте. Искать следует все вхождения
    http://
    https://
    и каждое найденое вхождение проверять внимательно визуально.
    Сдесь же давануть поиском по всем вызывам функций библиотеки Curl, mail, exec,shell_exec, passthru, system, proc_open, popen, sock
    В общем случае искать и уделять внимание в первую очеред функционалу связанному с загрузкой, отгрузкой данных, обращением к БД, открытию портов, сокетов, обращений к внешним адресам и функциям связанными с отправкой почты.

    2. Проверить по датам изменений файлов. Многие упускают этот момент. Проверить глазами и умом более тчательно те, которые подверглись изменениям последними.
    3. Вариант посложнее, когда встраиваемый код перед вставкой в скрипт обфусцируют. Как правило, если это касается PHP скриптов некого комерческого продукта - то там все довольно лаконично, красиво, правильные построения блоков условий и функций, читаемые адекватные имена переменных. Пролистывая даже бегло на глаз такую бяку все же можно заметить. Часто используют функционал BASE64, который так же легко мониториться глазами.
    4. Самый сложный вариант, когда "бяка" встроена "как надо". Грамотно составлена и не вызывает внешне подозрений. Здесь только разбираться в сути кода,... по существу пройти цепочки всех вызовов и функций. Может занять время примерно от 10% до 30% тех часов, которые были потрачены на разработку этого скрипта. Надежнее всего, но знания языка необходимы 100%.
     
    gera111, barmalini и Alegris нравится это.
  5. zweroboy1

    zweroboy1 Писатель

    Регистр.:
    22 дек 2012
    Сообщения:
    2
    Симпатии:
    0
    5. Поставить на локалке, попользоваться при включенном анализаторе исходящего трафа/файрволе. Если скрипт сообщает своему хозяину о том, где его поставили, то это будет видно. Правда, возможно скрипт сообщает об этом не сразу, а только через определенное время/при особых условиях либо взломанный сайт находится взломщиком через гугл.
    6. Анализ логов апача и 404 ошибки. Команды хакер будет давать через http, следовательно в логах будут urlы запросов хакера. Для поиска подозрительных урлов можно написать скрипт, который будет исключать те адреса, которые реально есть у пользователей сайта.
    7. Опять же, время правки файлов. Для себя я сделал скриптик, время от времени проверяю, какие файлы поменялись за последние Х дней.

    В любом случае, вероятность, что бекдор или шелл присутствует/появится есть всегда. Еще не стоит исключать вероятность кражу паролей от фтп, админки и т.д.
     
  6. v0ff

    v0ff Постоялец

    Регистр.:
    15 ноя 2012
    Сообщения:
    53
    Симпатии:
    7
    обычно тестирую на локалке с файерволом который сообщяет что и куда лезет, просто и удобно!
    (иногда и сталкивался с base64 шифровками)
    но друге варианты приму на вооружение, спс!
     
    Asin нравится это.
  7. LLIyT

    LLIyT Писатель

    Регистр.:
    23 янв 2013
    Сообщения:
    3
    Симпатии:
    1
    Когда на моем joomla сайте появился шелл, мне очень помог скрипт ai-bolit. В основном это были файлы index.php, в которых содержался eval_base64
     
    Serafimer нравится это.
Статус темы:
Закрыта.