Как проверить скрипт на шелы и бэкдоры

Тема в разделе "Защита и взлом", создана пользователем arsen, 26 дек 2012.

Статус темы:
Закрыта.
  1. arsen

    arsen НЕрядовой

    Регистр.:
    16 июн 2011
    Сообщения:
    897
    Симпатии:
    312
    Как проверить варезный скрипт на шелы и бэкдоры.интресны любые дельные и не очень советы кроме"не качайте варезные скрипты"
     
    evolvent нравится это.
  2. WiZXaK

    WiZXaK Причиняю добро

    Регистр.:
    8 сен 2012
    Сообщения:
    582
    Симпатии:
    808
    Визуально сканить код со знаниям программиста :)
    1) - Существуют "сканеры сайтов". Например: Shell and Backdoor Script Finder (Перейти по ссылке).
    Как и любой "антивирь", обережет от основных нападков, но 100% гарантии не даст.
    2) Так же есть онлайн проверки сайта на наличие всякой дряни (меньше всего эффективности как по мне)
    3) Услуги хостера - сканер вредоносного кода (если есть).

    P.S: Тема на форуме
     
    Asin и arsen нравится это.
  3. arsen

    arsen НЕрядовой

    Регистр.:
    16 июн 2011
    Сообщения:
    897
    Симпатии:
    312
    Конечно визуально-самый надежный,
    из остальных пробовал антивирь( так себе) и сканер кода (гасит и своих и чужих)
     
    evolvent нравится это.
  4. x1024

    x1024 Писатель

    Регистр.:
    17 окт 2012
    Сообщения:
    7
    Симпатии:
    4
    Зачастую, человек не сведущий в программировании врядли заметит "бяку" в скриптах. Полагаться на программные средства нельзя, т.к. они отловят только самые бородатые вкрапления бэкдоров и шеллов, причем те, которые не подвергались модификации.

    Предлагаю простую логику проверки, но предупреждаю, что знания рассматриваемого скрипта необходимы, иначе все в пустую.

    0 этап. Прогоняем известными нам антивирями. Эффективно так же прогнать через линуксовый ClamAV.

    1. Самое безобидное что может быть -- это встраивание скрытых ссылок на сторонние ресурсы.
    Цель: повысить кол-во ссылающихся доменов на целевые страницы(сайты), тем самым поднять рейтинг у поисковиков.
    Решение: прогнать поиском в файловом менеджере по всей директории с условием поиска в тексте. Искать следует все вхождения
    http://
    https://
    и каждое найденое вхождение проверять внимательно визуально.
    Сдесь же давануть поиском по всем вызывам функций библиотеки Перейти по ссылке, mail, exec,shell_exec, passthru, system, proc_open, popen, sock
    В общем случае искать и уделять внимание в первую очеред функционалу связанному с загрузкой, отгрузкой данных, обращением к БД, открытию портов, сокетов, обращений к внешним адресам и функциям связанными с отправкой почты.

    2. Проверить по датам изменений файлов. Многие упускают этот момент. Проверить глазами и умом более тчательно те, которые подверглись изменениям последними.
    3. Вариант посложнее, когда встраиваемый код перед вставкой в скрипт Перейти по ссылке, который так же легко мониториться глазами.
    4. Самый сложный вариант, когда "бяка" встроена "как надо". Грамотно составлена и не вызывает внешне подозрений. Здесь только разбираться в сути кода,... по существу пройти цепочки всех вызовов и функций. Может занять время примерно от 10% до 30% тех часов, которые были потрачены на разработку этого скрипта. Надежнее всего, но знания языка необходимы 100%.
     
    gera111, barmalini и Alegris нравится это.
  5. zweroboy1

    zweroboy1 Писатель

    Регистр.:
    22 дек 2012
    Сообщения:
    2
    Симпатии:
    0
    5. Поставить на локалке, попользоваться при включенном анализаторе исходящего трафа/файрволе. Если скрипт сообщает своему хозяину о том, где его поставили, то это будет видно. Правда, возможно скрипт сообщает об этом не сразу, а только через определенное время/при особых условиях либо взломанный сайт находится взломщиком через гугл.
    6. Анализ логов апача и 404 ошибки. Команды хакер будет давать через http, следовательно в логах будут urlы запросов хакера. Для поиска подозрительных урлов можно написать скрипт, который будет исключать те адреса, которые реально есть у пользователей сайта.
    7. Опять же, время правки файлов. Для себя я сделал скриптик, время от времени проверяю, какие файлы поменялись за последние Х дней.

    В любом случае, вероятность, что бекдор или шелл присутствует/появится есть всегда. Еще не стоит исключать вероятность кражу паролей от фтп, админки и т.д.
     
  6. v0ff

    v0ff Постоялец

    Регистр.:
    15 ноя 2012
    Сообщения:
    56
    Симпатии:
    8
    обычно тестирую на локалке с файерволом который сообщяет что и куда лезет, просто и удобно!
    (иногда и сталкивался с base64 шифровками)
    но друге варианты приму на вооружение, спс!
     
    Asin нравится это.
  7. LLIyT

    LLIyT Писатель

    Регистр.:
    23 янв 2013
    Сообщения:
    3
    Симпатии:
    1
    Когда на моем joomla сайте появился шелл, мне очень помог скрипт ai-bolit. В основном это были файлы index.php, в которых содержался eval_base64
     
    Serafimer нравится это.
Статус темы:
Закрыта.