Удаление всякой гадости из скрипта

Тема в разделе "Мегафлуд", создана пользователем PSC1410, 23 авг 2013.

  1. PSC1410

    PSC1410 Постоялец Нарушитель

    Регистр.:
    10 авг 2008
    Сообщения:
    68
    Симпатии:
    11
    Уважаемые, подскажите как находить всякую гадость в нуленых и фришных скриптах.
    Поиск ссылок, это понятно, а вот более хитрые штуки - стучалки, шелы и т.д.
    Читал на форуме, ставь на денвер и смотри логи, а что там смотреть?
    Прошу совета, может найдется человек который научит или покажет алгоритм какой-то.
    Знание рнр минимальное.

    Если запостил не в том разделе, прошу перенести в соответствующий.
     
  2. BDSG

    BDSG

    Регистр.:
    28 фев 2009
    Сообщения:
    203
    Симпатии:
    109
    например смотреть логи сервера и/или брандмауэра - на какие внешние ресурсы скрипт стучится..
     
  3. Black#FFFFFF

    Black#FFFFFF

    Регистр.:
    19 июл 2007
    Сообщения:
    174
    Симпатии:
    107
    Ай болит в помощь, внимательно смотри то, что он тебе подскажет. Обращай внимание на конструкции base64_decode (рекурсивный поиск), а также на список шеллов, которые выдаст скрипт, кроме этого поищи все открытые ссылки на твоем скрипте. Также нужно проверить базу скрипта, бывают хитрые варианты хранения последовательностей под разные цмс. В общем штука геморная, сам обычно маюсь, когда просят, чищу 3-4 часа (если сильно засрано). Кроме этого нужно проверить разного рода вхождения на загрузку файлов ($_FILES) , изменение файлов (если добавляют доп. код), и проверить содержимое файлов .htaccess (там иногда встречаются редиректы, или добавочные строчки на выполнение php не в php файлах). Поищи внешние картинки, и адреса (вычисли с копирайтов) рекурсивным поиском по js. Некоторые "нуленые" скрипты могут содержать закодированные файлы через zend, и т.п., но это уже другая история. Есть еще одна хитрость, если вычислишь шелл, смотри на дату его добавления, а потом отсей в +/- 2-3 дня к этому файлы, у которых будет дата изменения равна дате добавления шелла, открывай и смотри эти файлы внимательно. Могут быть "обходы" авторизации (встречал, но редко, когда через доп параметры инициализируется сессия админа цмс, но это реже). Кроме этого могут быть разные включения в js. Также ищи еще <iframe,<a это уже реже, но все еще встречается. Но помни, ты должен знать хорошо скрипт, с которым работает. Также поставь сниффер пакетов, и побегай по ссылкам скрипта, если что осталось, сниффер поймает и покажет, а без сниффера можно воспользоваться в твоем случае инструментами вэб мастера в гугл хроме. Там есть онлайн просмотр, куда идут запросы со страниц. Учти еще одно: многие "авторы" предусматривают выполнение скрипта на localhost без стучалок, а потом вредоносный код активизируется непосредственно на сайте. Поэтому ищем рекурсивно по файлам localhost, если находим, смотрим код, заключенный внутри. Если там что-то странное... Спрашиваем-) Советуемся-)
     
    Последнее редактирование: 23 авг 2013
    paxxxan, Sorcus, Шумадан и ещё 1-му нравится это.
  4. PSC1410

    PSC1410 Постоялец Нарушитель

    Регистр.:
    10 авг 2008
    Сообщения:
    68
    Симпатии:
    11
    По брандмауэру понятно, а в логах открытая ссылка будет?
     
  5. Black#FFFFFF

    Black#FFFFFF

    Регистр.:
    19 июл 2007
    Сообщения:
    174
    Симпатии:
    107
    Google Chrome - кнопка справа у адресной строки в виде списка - Инструменты - Инструменты Разработчика - Network - бегай по страничкам, и смотри, чтобы не было загрузки внешних ссылок или какой то внешней лабуды. Но в 90% случаях прячут или при помощи css ссылки, или кодируют при помощи base64_decode шеллы, обычно дальше они не уходят, это все ищется рекурсивным поиском по файлам. Дальше вычищаешь дрянь. Перечитай выше, я обновил пост. Из снифферов я для себя использую сниффер пакетов EffeTech HTTP Sniffer.
     
    Последнее редактирование: 23 авг 2013
  6. PSC1410

    PSC1410 Постоялец Нарушитель

    Регистр.:
    10 авг 2008
    Сообщения:
    68
    Симпатии:
    11
    Black#FFFFFF спасибо, схема поиска понятна, будут вопросы обязательно обращусь.
     
  7. pirosin

    pirosin ДедМороз

    Регистр.:
    29 янв 2007
    Сообщения:
    174
    Симпатии:
    29
    а сам айболит никуда ничего не сливает?
     
  8. Black#FFFFFF

    Black#FFFFFF

    Регистр.:
    19 июл 2007
    Сообщения:
    174
    Симпатии:
    107
    Для полного успокоения можно скачать сайт на домашний компьютер, установить vertrigo, отключиться от интернета, проверить сайт, удалить айболит. На рабочих сайтах айболит оставлять не советую. Просто нормальная параноя.