Форум русской поддержки Joomla!® CMS
08.12.2016, 00:20:39 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2 3 4 5 6 7 8 9 10   Вниз
  Добавить закладку  |  Печать  
Автор

Сканируем сайты! Сканер сайта или Shell and Backdoor Script Finder

 (Прочитано 130472 раз)
0 Пользователей и 1 Гость смотрят эту тему.
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« : 22.01.2012, 23:16:56 »

Новость от 08-09-2013

Хоть поддержка бесплатного сканера и прекращена сделано решение обновить его!
Добавлена база сигнатур и расширен функционал.

Также выложили демо версию сканера ssf.php

полностью прочитать и скачать можно тут

***********************************************************************************************

программа для чистки - замены и удаления AD Search&Replace качать с сайта разработчика http://www.abroaddesign.com/downloads.html
работает в указанной деректории и проходится по всем файлам 5-15 секунд на движок

Что ищем?
Приведем пример, это часть списка на что обращаем внимание, но у каждого кулцхакера свой почерк, и расширения с файлами тоже свои.
На сегодняшний день ищем заразу вроде
Показать текстовый блок

Вот заразу можно искать автоматически, пока что удалять не получиться (из-за того что иногда коды файлов пересекаются), но найти её можно.

Мы начали разрабатывать расширение для сканирования заразы, в сыром виде оно уже обкатано скоро будет представлено в свет.

Просьба к тем кто находит у себя при чистки заразу Shell и BackDoor пишите в ЛС она нам нужна для расширения библиотеки.

Если кому что интересно тоже пишите в ЛС объясню подробнее.

Сканер сайита или Shell and Backdoor Script Finder


качаем


Положить в корень и вызвать  сайт/fls.php

Сканер сканирует все файлы из-за этого иногда ссылается на файлы сторонних расширений, полной авто замены не получилось пока что сделать, это в будущем. Но  у вас есть возможность видеть ситуацию и все просмотреть. Не слепо не зная что делать, а в нужном направлении.

Чистим сайты от зверей)))
Цитировать
Производим чисту/обновление сайтов, стоимость от 3500р. за сайт, полная оценка объема работ через доступ FTP
« Последнее редактирование: 18.03.2015, 16:40:29 от flyingspook » Записан
 
MaxFarSeer
Давно я тут
****

Репутация: +29/-0
Offline Offline

Сообщений: 386


http://ru.ah.fm:80


« Ответ #1 : 30.01.2012, 18:45:55 »

по теме:
images/post.php
Записан
hedeag
Давно я тут
****

Репутация: +23/-3
Offline Offline

Сообщений: 378


« Ответ #2 : 30.01.2012, 19:02:07 »

поставил +

молодцы парни, кстати про $_POST['pass']",
вот такой еще надо бы прописать decode($_POST

ну или заменить, вроде $_POST может использоваться в некоторых скриптах,  я не эксперт, просто делюсь предположением...



Langoliers сканер сканирует за секунды а перекачка с фтп и проверка нотепадом займет часы
« Последнее редактирование: 30.01.2012, 19:11:00 от hedeag » Записан
wfedin
Живу я здесь
******

Репутация: +102/-0
Offline Offline

Пол: Мужской
Сообщений: 1295



« Ответ #3 : 30.01.2012, 21:43:07 »

Обратились визитку почистить месяц назад, если ТС надо то могу скинуть архив Акееба 8 мб.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #4 : 31.01.2012, 08:59:36 »

2wfedin
конечно скидывай
Записан
hedeag
Давно я тут
****

Репутация: +23/-3
Offline Offline

Сообщений: 378


« Ответ #5 : 31.01.2012, 13:15:03 »

Langoliers ты троллишь, если ты не разбираешься в вопросе зачем писать белиберду такого рода
оудлпошущкагн8кнагнагкнкгн
Цитировать
Какие часы? За архивировать сайт без папки images займет меньше минуты
как раз часто дырка лежит в папке images ,потому что такие умники как ты не скачивают ее
Цитировать
Т.е. без подпапок? о_О я буду дольше мучаться.
мучаешь ты тут топик своим трольством, если не умеешь пользоваться или не разбираешься так научись или не троль
Цитировать
Полечится и будет ждать очередного падения сайта? Уязвимость кто будет искать?
это вообще эпик трололо
Цитировать
У меня пока ни одного взлома из 30+ сайтов не было..
а как по твоему ломают сайты, заходишь на сайт, а там вместо сайта- большой член? твои сайты могут быть уже сто раз взломаны с них происходят утечки данных, а ты может быть даже не в курсе

лучше забудь про эту тему вообще, а файл не качай он бяка, мы тут "дурачки" и качают его только "глупые люди", оно тебе не надо, нет такой темы и раздела безопасность вообще не существует...

п.с. извини что я себя так по хамски веду но я больше не могу выдерживать твое эпичное трололо
« Последнее редактирование: 31.01.2012, 13:46:41 от hedeag » Записан
Langoliers
Завсегдатай
*****

Репутация: +67/-2
Offline Offline

Пол: Мужской
Сообщений: 693


Если б Я изучал людей, то был бы паразитологом


« Ответ #6 : 31.01.2012, 14:56:01 »

Цитировать
как раз часто дырка лежит в папке images ,потому что такие умники как ты не скачивают ее
Такие умники как я делают файл .htaccess со следующим содержанием:
Код:
php_flag engine  off
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
И кладут его в папку images/ которая имеет права 755.
А по поводу троллить не троллить. Я свое ИМХО засунул оффтопом в спойлер, так что не нужно меня в этом обвинять.
Цитировать
это вообще эпик трололо
Не ну если вы не ищите, как взломали сайт и не затыкаете дыры, то пожалуй заткнусь я.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #7 : 31.01.2012, 15:20:43 »

2Langoliers
дыры ищем, другими способами
(но после того как было присутствие, его запросто можно удалить и искать будет просто не чего)
а последствия (прибывания) тоже требуется устранять
вот и устраняем как умеем
а как известно
после драки кулаками не машут )) имхо
Записан
io77
Захожу иногда
**

Репутация: +2/-0
Offline Offline

Сообщений: 16


« Ответ #8 : 07.03.2012, 16:49:41 »

Было бы хорошо также добавить в поиск
"passthru(",
"shell_exec(",
"exec(",
"system(",
"gzinflate(",
"preg_replace(\"/.*/e",
"\$_FILES[",
и поиск рекламы:
"windows 7",
"porno",
"office 2010"
....
« Последнее редактирование: 07.03.2012, 19:46:06 от io77 » Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #9 : 08.03.2012, 00:17:08 »

О,нашел вот такое
Показать текстовый блок
Теперь жалею,что скрин не сделал.Спасибо flyingspook за скрипт.Только или я не пойму,но много пишет вроде нужных POST[
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #10 : 08.03.2012, 17:43:38 »

Теперь буду знать.
Во время работы сканера, php пишет ошибки в error.log
Записан
artlux
Завсегдатай
*****

Репутация: +58/-0
Offline Offline

Пол: Мужской
Сообщений: 468



« Ответ #11 : 30.03.2012, 11:48:42 »

Инструкуия по удалению бекдора,

1. просим доступ по shh у хостера, либо просим выполнить команду (может отличаться - нужно посмотреть ваш код в любом из зараженных php файлов у меня (--- eval(base64_decode("DQp.......Cn0="); --- )

Код:
find . -type f -name '*.php' -exec perl -pi -e 's/eval\(base64_decode\(\"DQp.*Cn0=\"\)\)\;//g' '{}' \;

Код:
eval(base64_decode("DQp.......Cn0=");
- удаляет вот эту заразу

2. Удаляем сам бекдор с папки images - файл post.php
3. Меняем пароли к базе и админке.
4. Обновляем Joomla до последней.


Возможно комуто поможет...
« Последнее редактирование: 30.03.2012, 11:53:15 от artlux » Записан
Langoliers
Завсегдатай
*****

Репутация: +67/-2
Offline Offline

Пол: Мужской
Сообщений: 693


Если б Я изучал людей, то был бы паразитологом


« Ответ #12 : 30.03.2012, 12:24:22 »

Инструкуия по удалению бекдора,
1. просим доступ по shh у хостера
Ни один хостер не даст доступ по ssh если у Вас не VPS.
Записан
era
Администратор
*******

Репутация: +383/-5
Offline Offline

Пол: Мужской
Сообщений: 1699


В туалете лучше быть пользователем, чем админом.


« Ответ #13 : 30.03.2012, 12:28:15 »

Ни один хостер не даст доступ по ssh если у Вас не VPS.
дают, но не все
Записан
Langoliers
Завсегдатай
*****

Репутация: +67/-2
Offline Offline

Пол: Мужской
Сообщений: 693


Если б Я изучал людей, то был бы паразитологом


« Ответ #14 : 30.03.2012, 12:48:07 »

дают, но не все
Ну вот я сам предоставляю хостинг и из соображений по безопасности я никому не дам доступ по SSH, чего бы там не просили...
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #15 : 30.03.2012, 12:49:48 »

Не пойму а зачем такой изврат? Не проще сразу просто выполнить п.2?
2. Удаляем сам бекдор с папки images - файл post.php
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #16 : 30.03.2012, 14:00:22 »

Цитировать
2. Удаляем сам бекдор с папки images - файл post.php
сам post.php не является бакдор, это связующее между тем кто вскрыл доступ к вашему серверу, бакдор это залитый shell на ваш сервер
1-удалив post.php не факт что вы избавитесь от бакдор
2-
Цитировать
нужно посмотреть ваш код в любом из зараженных php
- как ни кто не поймет как можно назвать труд человека заразой и вирусом
3-
Цитировать
(--- eval(base64_decode("DQp.......Cn0="); --- )
-это используется/внедряется для редиректов на другие сайты и пишут во все файлы, еще бывает в js и хтачесс пишут редиректы
а на счет ssh
Цитировать
Ну вот я сам предоставляю хостинг и из соображений по безопасности я никому не дам доступ по SSH, чего бы там не просили...
1-ни за что не буду пользоваться таким хостингом
2-
Цитировать
просим доступ по shh
не все умеют пользоваться командами через ssh

2artlux а вообще может кому и пригодиться
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #17 : 01.04.2012, 15:26:59 »

Не хочу холивара,
Цитировать
сам post.php не является бакдор, это связующее между тем кто вскрыл доступ к вашему серверу, бакдор это залитый shell на ваш сервер
1-удалив post.php не факт что вы избавитесь от бакдор
а что бекдор бывают только shell?По моему,бекдор-это любой скрипт,позволяющий хакеру получить права пользователя хостинга/сервера.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #18 : 02.04.2012, 08:20:40 »

Цитировать
бекдор-это любой скрипт
ну тогда подбор паролей и сканирование или кражу пароля фтп, тоже считать бекдор, именно через них и получают доступ
Записан
AleksandrXXXXX
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 24


« Ответ #19 : 05.04.2012, 23:14:00 »

Добрый день
подскажите пожалуйста что делать после того как получил результаты работы скрипта "Сканер сайита или Shell and Backdoor Script Finder"

Показать текстовый блок

заменил несколько файлов на исходные они всё равно выводятся во время работы скрипта...
вирус кстати заразил только .js файлы и ссылок в php нет проверил replace.php из соседней темы...
заражёные файлы удалил но как сделать чтобы скрипт опять не сработал и завтра утром не пришлось бы это заново делать? (ФТП пароль сменил)
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #20 : 06.04.2012, 08:18:39 »

Цитировать
как сделать чтобы скрипт опять не сработал и завтра утром не пришлось бы это заново делать?
Проверить файлы,выведенные сканером fls.php.
Записан
N2uM
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Мужской
Сообщений: 483



« Ответ #21 : 06.04.2012, 10:04:12 »

у меня не работает(   залил в корень, после написал сайт/fps.php     а у меня всё-равно главная страница открывается
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #22 : 06.04.2012, 10:21:49 »

сайт/fps.php
замените на
сайт/fls.php
Записан
darkmaster
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #23 : 07.04.2012, 16:04:19 »

Извиняюсь что не по Joomla, но проблемы те же, а на других форумах хороших специалистов меньше. Есть магазин http://zoomagazin-aquarium.com.ua/ на движке вам шоп. Недавно под каждым модулем вылезла ссылка "гороскоп на сегодня" Загрузил ваш сканер просканировал, но ничего не нашел  Shocked. Подскажите, пожалуйста, где копать?
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #24 : 07.04.2012, 16:44:49 »

а что саму ссылку
<a href="http://akoula.ru/" style="font-size: 7pt;">гороскоп на сегодня</a>
найти в коде не можете?
Записан
darkmaster
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #25 : 07.04.2012, 19:35:48 »

Нет она зашифрована
Записан
oriol
Живу я здесь
******

Репутация: +100/-4
Offline Offline

Сообщений: 1057


« Ответ #26 : 07.04.2012, 19:54:39 »

открой скрипт и ты увидишь что он ищет (я качал давно возможно flyingspook что то поменял)
там есть
Код:
"eval(base64_decode",
попробуй дописать еще так
Код:
"eval",
"base64_decode",
ну и это если нет
Код:
"gzuncompress",
"gzinflate",
"ob_start",
"str_rot13",
"encrypted",
« Последнее редактирование: 08.04.2012, 13:28:52 от oriol » Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #27 : 07.04.2012, 20:43:51 »

Извиняюсь что не по Joomla, но проблемы те же, а на других форумах хороших специалистов меньше. Есть магазин http://zoomagazin-aquarium.com.ua/ на движке вам шоп. Недавно под каждым модулем вылезла ссылка "гороскоп на сегодня" Загрузил ваш сканер просканировал, но ничего не нашел  Shocked. Подскажите, пожалуйста, где копать?
Ну а где текст вывода работы сканера? Смотри в скрипте движка,выводящего материал статья.
п.с.
 Shocked ШОК ,в исходном коде
Показать текстовый блок
« Последнее редактирование: 07.04.2012, 20:51:13 от draff » Записан
darkmaster
Захожу иногда
**

Репутация: +1/-0
Offline Offline

Сообщений: 18


« Ответ #28 : 07.04.2012, 21:40:02 »

текст вывода работы сканера

Sheel and Basic Backdoor Script Finder www.1000in1.net

Fatal error: Call to undefined function hash_file() in /home/zoomagazin_a/data/www/zoomagazin-aquarium.com.ua/fls.php on line 42

строчек с фразой base64 сайт не содержит

права были открыты только сегодня, потому что пытался восстановить старую копию и подключал разные базы из бекапов.
« Последнее редактирование: 07.04.2012, 21:43:31 от darkmaster » Записан
eclipseggg
Завсегдатай
*****

Репутация: +32/-2
Offline Offline

Пол: Мужской
Сообщений: 416



« Ответ #29 : 07.04.2012, 23:19:39 »

искать в файлах пробывали различные кодировки и тому подобное, залатал им дыры, обновил движок, было залит когда то кем то WSO SHELL примерно в марте месяце=) вопрос решили)
Записан
Страниц: [1] 2 3 4 5 6 7 8 9 10   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet