Сканируем сайты! Сканер сайта или Shell and Backdoor Script Finder

  • 299 Ответов
  • 141591 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

Оффлайн flyingspook

Новость от 08-09-2013

Хоть поддержка бесплатного сканера и прекращена сделано решение обновить его!
Добавлена база сигнатур и расширен функционал.

Также выложили демо версию сканера ssf.php

полностью прочитать и скачать можно тут

***********************************************************************************************

программа для чистки - замены и удаления AD Search&Replace качать с сайта разработчика http://www.abroaddesign.com/downloads.html
работает в указанной деректории и проходится по всем файлам 5-15 секунд на движок

Что ищем?
Приведем пример, это часть списка на что обращаем внимание, но у каждого кулцхакера свой почерк, и расширения с файлами тоже свои.
На сегодняшний день ищем заразу вроде
Спойлер
[свернуть]

Вот заразу можно искать автоматически, пока что удалять не получиться (из-за того что иногда коды файлов пересекаются), но найти её можно.

Мы начали разрабатывать расширение для сканирования заразы, в сыром виде оно уже обкатано скоро будет представлено в свет.

Просьба к тем кто находит у себя при чистки заразу Shell и BackDoor пишите в ЛС она нам нужна для расширения библиотеки.

Если кому что интересно тоже пишите в ЛС объясню подробнее.

Сканер сайита или Shell and Backdoor Script Finder


качаем


Положить в корень и вызвать  сайт/fls.php

Сканер сканирует все файлы из-за этого иногда ссылается на файлы сторонних расширений, полной авто замены не получилось пока что сделать, это в будущем. Но  у вас есть возможность видеть ситуацию и все просмотреть. Не слепо не зная что делать, а в нужном направлении.

Чистим сайты от зверей)))
Цитировать
Производим чисту/обновление сайтов, стоимость от 3500р. за сайт, полная оценка объема работ через доступ FTP
« Последнее редактирование: 18.03.2015, 17:40:29 от flyingspook »

*

Оффлайн MaxFarSeer

  • ****
  • 386
  • [+]29 / [-]0
  • http://ru.ah.fm:80
    • Просмотр профиля
по теме:
images/post.php
Не можете найти, где редактировать код? Читаем:
Быстрый и легкий поиск нужных файлов для редактирования чего-либо

Я много времени потратил на изменение готовых шаблонов, раскуривание чего и как там у буржуев, менял код вложенный в 100500 дивов, да они неплохи эти T3 и Warp (YOO), но стоит начать делать свой шаблон...Ребята!!! Всем советую! Свое - так легко настраивать!

*

Оффлайн hedeag

поставил +

молодцы парни, кстати про $_POST['pass']",
вот такой еще надо бы прописать decode($_POST

ну или заменить, вроде $_POST может использоваться в некоторых скриптах,  я не эксперт, просто делюсь предположением...



Langoliers сканер сканирует за секунды а перекачка с фтп и проверка нотепадом займет часы
« Последнее редактирование: 30.01.2012, 21:11:00 от hedeag »

*

Оффлайн wfedin

Обратились визитку почистить месяц назад, если ТС надо то могу скинуть архив Акееба 8 мб.


*

Оффлайн hedeag

Langoliers ты троллишь, если ты не разбираешься в вопросе зачем писать белиберду такого рода
оудлпошущкагн8кнагнагкнкгн
Цитировать
Какие часы? За архивировать сайт без папки images займет меньше минуты
как раз часто дырка лежит в папке images ,потому что такие умники как ты не скачивают ее
Цитировать
Т.е. без подпапок? о_О я буду дольше мучаться.
мучаешь ты тут топик своим трольством, если не умеешь пользоваться или не разбираешься так научись или не троль
Цитировать
Полечится и будет ждать очередного падения сайта? Уязвимость кто будет искать?
это вообще эпик трололо
Цитировать
У меня пока ни одного взлома из 30+ сайтов не было..
а как по твоему ломают сайты, заходишь на сайт, а там вместо сайта- большой член? твои сайты могут быть уже сто раз взломаны с них происходят утечки данных, а ты может быть даже не в курсе

лучше забудь про эту тему вообще, а файл не качай он бяка, мы тут "дурачки" и качают его только "глупые люди", оно тебе не надо, нет такой темы и раздела безопасность вообще не существует...

п.с. извини что я себя так по хамски веду но я больше не могу выдерживать твое эпичное трололо
« Последнее редактирование: 31.01.2012, 15:46:41 от hedeag »

*

Оффлайн Langoliers

  • *****
  • 695
  • [+]67 / [-]2
  • Если б Я изучал людей, то был бы паразитологом
    • Просмотр профиля
    • www.yazov.com
Цитировать
как раз часто дырка лежит в папке images ,потому что такие умники как ты не скачивают ее
Такие умники как я делают файл .htaccess со следующим содержанием:
php_flag engine  off
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
И кладут его в папку images/ которая имеет права 755.
А по поводу троллить не троллить. Я свое ИМХО засунул оффтопом в спойлер, так что не нужно меня в этом обвинять.
Цитировать
это вообще эпик трололо
Не ну если вы не ищите, как взломали сайт и не затыкаете дыры, то пожалуй заткнусь я.

*

Оффлайн flyingspook

2Langoliers
дыры ищем, другими способами
(но после того как было присутствие, его запросто можно удалить и искать будет просто не чего)
а последствия (прибывания) тоже требуется устранять
вот и устраняем как умеем
а как известно
после драки кулаками не машут )) имхо

*

Оффлайн io77

Было бы хорошо также добавить в поиск
"passthru(",
"shell_exec(",
"exec(",
"system(",
"gzinflate(",
"preg_replace(\"/.*/e",
"\$_FILES[",
и поиск рекламы:
"windows 7",
"porno",
"office 2010"
....
« Последнее редактирование: 07.03.2012, 21:46:06 от io77 »

*

Оффлайн draff

  • *******
  • 2739
  • [+]174 / [-]5
  • step by step
    • Просмотр профиля
О,нашел вот такое
Спойлер
[свернуть]
Теперь жалею,что скрин не сделал.Спасибо flyingspook за скрипт.Только или я не пойму,но много пишет вроде нужных POST[

*

Оффлайн draff

  • *******
  • 2739
  • [+]174 / [-]5
  • step by step
    • Просмотр профиля
Теперь буду знать.
Во время работы сканера, php пишет ошибки в error.log

*

Оффлайн artlux

Инструкуия по удалению бекдора,

1. просим доступ по shh у хостера, либо просим выполнить команду (может отличаться - нужно посмотреть ваш код в любом из зараженных php файлов у меня (--- eval(base64_decode("DQp.......Cn0="); --- )

find . -type f -name '*.php' -exec perl -pi -e 's/eval\(base64_decode\(\"DQp.*Cn0=\"\)\)\;//g' '{}' \;
eval(base64_decode("DQp.......Cn0="); - удаляет вот эту заразу

2. Удаляем сам бекдор с папки images - файл post.php
3. Меняем пароли к базе и админке.
4. Обновляем Joomla до последней.


Возможно комуто поможет...
« Последнее редактирование: 30.03.2012, 13:53:15 от artlux »
Разработка расширений: Joomla 1.5+, Bitrix 12+, Мобильные приложения для сайтов под Android (PhoneGap).
Для бонусов: Z136221252622, R242724126443, U423945028202. +79211696184(Мегафон), или плюсик в репу!

*

Оффлайн Langoliers

  • *****
  • 695
  • [+]67 / [-]2
  • Если б Я изучал людей, то был бы паразитологом
    • Просмотр профиля
    • www.yazov.com
Инструкуия по удалению бекдора,
1. просим доступ по shh у хостера
Ни один хостер не даст доступ по ssh если у Вас не VPS.

*

Оффлайн era

  • *******
  • 1679
  • [+]386 / [-]5
  • В туалете лучше быть пользователем, чем админом.
    • Просмотр профиля
    • http://j-web.ru

*

Оффлайн Langoliers

  • *****
  • 695
  • [+]67 / [-]2
  • Если б Я изучал людей, то был бы паразитологом
    • Просмотр профиля
    • www.yazov.com
дают, но не все
Ну вот я сам предоставляю хостинг и из соображений по безопасности я никому не дам доступ по SSH, чего бы там не просили...

*

Оффлайн draff

  • *******
  • 2739
  • [+]174 / [-]5
  • step by step
    • Просмотр профиля
Не пойму а зачем такой изврат? Не проще сразу просто выполнить п.2?
2. Удаляем сам бекдор с папки images - файл post.php

*

Оффлайн flyingspook

Цитировать
2. Удаляем сам бекдор с папки images - файл post.php
сам post.php не является бакдор, это связующее между тем кто вскрыл доступ к вашему серверу, бакдор это залитый shell на ваш сервер
1-удалив post.php не факт что вы избавитесь от бакдор
2-
Цитировать
нужно посмотреть ваш код в любом из зараженных php
- как ни кто не поймет как можно назвать труд человека заразой и вирусом
3-
Цитировать
(--- eval(base64_decode("DQp.......Cn0="); --- )
-это используется/внедряется для редиректов на другие сайты и пишут во все файлы, еще бывает в js и хтачесс пишут редиректы
а на счет ssh
Цитировать
Ну вот я сам предоставляю хостинг и из соображений по безопасности я никому не дам доступ по SSH, чего бы там не просили...
1-ни за что не буду пользоваться таким хостингом
2-
Цитировать
просим доступ по shh
не все умеют пользоваться командами через ssh

2artlux а вообще может кому и пригодиться

*

Оффлайн draff

  • *******
  • 2739
  • [+]174 / [-]5
  • step by step
    • Просмотр профиля
Не хочу холивара,
Цитировать
сам post.php не является бакдор, это связующее между тем кто вскрыл доступ к вашему серверу, бакдор это залитый shell на ваш сервер
1-удалив post.php не факт что вы избавитесь от бакдор
а что бекдор бывают только shell?По моему,бекдор-это любой скрипт,позволяющий хакеру получить права пользователя хостинга/сервера.

*

Оффлайн flyingspook

Цитировать
бекдор-это любой скрипт
ну тогда подбор паролей и сканирование или кражу пароля фтп, тоже считать бекдор, именно через них и получают доступ

Добрый день
подскажите пожалуйста что делать после того как получил результаты работы скрипта "Сканер сайита или Shell and Backdoor Script Finder"

Спойлер
[свернуть]

заменил несколько файлов на исходные они всё равно выводятся во время работы скрипта...
вирус кстати заразил только .js файлы и ссылок в php нет проверил replace.php из соседней темы...
заражёные файлы удалил но как сделать чтобы скрипт опять не сработал и завтра утром не пришлось бы это заново делать? (ФТП пароль сменил)

*

Оффлайн draff

  • *******
  • 2739
  • [+]174 / [-]5
  • step by step
    • Просмотр профиля
Цитировать
как сделать чтобы скрипт опять не сработал и завтра утром не пришлось бы это заново делать?
Проверить файлы,выведенные сканером fls.php.

*

Оффлайн N2uM

у меня не работает(   залил в корень, после написал сайт/fps.php     а у меня всё-равно главная страница открывается
Лучшее спасибо это "+" в карму


Извиняюсь что не по Joomla, но проблемы те же, а на других форумах хороших специалистов меньше. Есть магазин http://zoomagazin-aquarium.com.ua/ на движке вам шоп. Недавно под каждым модулем вылезла ссылка "гороскоп на сегодня" Загрузил ваш сканер просканировал, но ничего не нашел  :o. Подскажите, пожалуйста, где копать?

*

Оффлайн flyingspook

а что саму ссылку
<a href="http://akoula.ru/" style="font-size: 7pt;">гороскоп на сегодня</a>
найти в коде не можете?

Нет она зашифрована

*

Оффлайн oriol

открой скрипт и ты увидишь что он ищет (я качал давно возможно flyingspook что то поменял)
там есть "eval(base64_decode", попробуй дописать еще так
"eval",
"base64_decode",
ну и это если нет
"gzuncompress",
"gzinflate",
"ob_start",
"str_rot13",
"encrypted",
« Последнее редактирование: 08.04.2012, 15:28:52 от oriol »

*

Оффлайн draff

  • *******
  • 2739
  • [+]174 / [-]5
  • step by step
    • Просмотр профиля
Извиняюсь что не по Joomla, но проблемы те же, а на других форумах хороших специалистов меньше. Есть магазин http://zoomagazin-aquarium.com.ua/ на движке вам шоп. Недавно под каждым модулем вылезла ссылка "гороскоп на сегодня" Загрузил ваш сканер просканировал, но ничего не нашел  :o. Подскажите, пожалуйста, где копать?
Ну а где текст вывода работы сканера? Смотри в скрипте движка,выводящего материал статья.
п.с.
 :o ШОК ,в исходном коде
Спойлер
[свернуть]
« Последнее редактирование: 07.04.2012, 22:51:13 от draff »

текст вывода работы сканера

Sheel and Basic Backdoor Script Finder www.1000in1.net

Fatal error: Call to undefined function hash_file() in /home/zoomagazin_a/data/www/zoomagazin-aquarium.com.ua/fls.php on line 42

строчек с фразой base64 сайт не содержит

права были открыты только сегодня, потому что пытался восстановить старую копию и подключал разные базы из бекапов.
« Последнее редактирование: 07.04.2012, 23:43:31 от darkmaster »

*

Оффлайн eclipseggg

искать в файлах пробывали различные кодировки и тому подобное, залатал им дыры, обновил движок, было залит когда то кем то WSO SHELL примерно в марте месяце=) вопрос решили)