Ещё один опыт поиска вирусов, может кому пригодится

  • 19 Ответов
  • 966 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

Оффлайн tmpnikl

Начало работы начинается с запуска программы chfiles.php(я её постоянно копирую с локал на хостинг, с последующим удалением), которая формирует весь список файлов на хостинге, на котором 2 сайта(chfiles.tmk),  
2 этап
затем запускаю FAR-менеджер и копирую файлы(кроме картинок и документов) с хостинга на локальную машину, на локальной машине стоит антивирусник Dr Web, который показывает заражённые файлы(смотрю карантин), если есть заражённые, то я их удаляю и восстанавливаю их с исходников... Но помимо Dr_Web, проверяется в следующий день Касперским и следующий день авастом по очереди, кстати только аваст указал на вредноносный скрипт и заблокировал мой сайт, остальные не обратили внимание... В общем пробовать проверять разными антивирусниками...
3 этап Беру файл chfiles.tmk и программой на фоксе преобразую его в DBF файл (кому интересно программа в спойлере)
Спойлер
[свернуть]
Получается вот такая таблица

4 этап У меня хранятся DBF файлы за прошлые дни, и посредством запросов я начинаю сравнивать на появление новых файлов на сайте, а также, если было удаление файлов... Также сравниваю размеры файлов и CRC, всё что изменилось заменяю с исходников..
Тут тоже могу поместить программу в спойлере если надо... но думаю это такие простыни, только отвлекают, тем более можно писать на любом языке, кто в чём горазд
5 этап начинаю сравнивать список файлов хостинга со списком файлов исходников также в формате DBF, т.к. к ним легко делать разного вида запросы, сортировки и т.д.... и также программа на VFP
Если ставлю какое-нибудь расширение, делаю список его файлов и их размер, и не важно заражён он или нет, потом устанавливаю на хостинг..., если после установки появляется изменение в файлах, то расширение удаляю... Т.е. у меня есть список в DBF файлах исходников Joomla и всех расширений, которые установлены
Сколько по времени занимает эта процедура, само копирование часа два, но я за это время делаю другую работу, а копирование идёт само по себе.. всё сравнение делается быстро в общем чистого времени уходит где-то полчаса

PS: Вначале пробовал айболитом проверять сайт, но тут нужен профессионализм которого у меня нет, т.к. я установил на хостинг сайт чистую Joomla и айболит показал, что есть какие-то опасные строчки, разбором этих строк я не стал заниматься, а просто отклонил этот метод проверки, и стал пробовать свой...
PPS: Долго думал, надо ли было это писать, и в общем-то сомневаюсь, что надо... поэтому если модератор посчитает, что это лишнее, то пусть удалит эту тему...:-)
« Последнее редактирование: 02.02.2016, 11:37:08 от tmpnikl »

*

Оффлайн stepan39

Может чего я конечно и не понял, но к чему такие "забубенности"?

Eyesite справляется с этим гораздо проще. Хочешь по крону на хостинге, хочешь через плагин - сканирует сайт и выдает новые, измененные и пр. файлы.

*

Оффлайн tmpnikl

Да, Вы правы, забубённости..:-), пусть модератор снесёт тему..:-)))


*

Оффлайн draff

  • *******
  • 2739
  • [+]174 / [-]5
  • step by step
    • Просмотр профиля
Может чего я конечно и не понял, но к чему такие "забубенности"?

Eyesite справляется с этим гораздо проще. Хочешь по крону на хостинге, хочешь через плагин - сканирует сайт и выдает новые, измененные и пр. файлы.
Иногда  оставляю chfiles.php после чистки, конечно изменяя имя скрипта.
Смысл скрипта в простоте- сканирует директорию, которую можно указать в скрипте. И не нужно устанавливать доп.компонент.
Скрипт выдает список измененных файлов, удаленных файлов.

*

Оффлайн tmpnikl

Eyesite справляется с этим гораздо проще.
Хотелось бы спросить просто так для интереса...:-), например у меня всё время на хостинге появляются(или удаляются) файлы типа MEDIA\NEXTEND\CACHE\JS\N1455762600\CD25A7E1C90794E8E369E771B7AF608A.JS, понятно что этот аккордеон, образует кэш, куда добавляет кучу файлов, потом их удаляет.. но можно ли Eyesite отследить какой файл остался и не удаляется уже например два дня... что является подозрительным признаком, т.к. этот аккордеон за собой чистит весь кэш?

*

Оффлайн flyingspook

Так по логам и смотрите, можете еще вот этот плагин по пробовать.

*

Оффлайн tmpnikl

согласен...можно смотреть логи(или сделать поиск по строке)..:-), а можно написать команду select и пусть select сделает выборку записей файлов этого каталога по самой поздней дате ввода записи, когда эти файлы были добавлены... но в общем согласен, опять фигню "сморозил"..:-)

*

Оффлайн Lemady

А есть специализированный софт для сравнения файлов в Windows? Я делаю бекап папки public_html, мне интересно сравнить эти бекапы за разные периоды времени с целью выявить измененные-добавленные файлы.

*

Онлайн dmitry_stas

полно. WinMerge например как по мне очень удобна
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн Lemady

Спасибо, попробую! А то не доверяю всяким плагинам, ведь если на сайт влезли и копаются в моих файлах, могут и плагин сломать, а я и не узнаю.

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
в NotePad++ есть плагин "Compare" называется




полезное чтиво: http://wwdiz.ru/kak-sravnit-dva-fajla.html
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн Lemady

Так, посмотрела и WinMerge, и плагин Compare поставила, все не то. Вы меня, видимо, не так поняли. Мне не два файла сравнить надо, а содержимое двух каталогов. К примеру, достаю из архива папку public_html, и хочу сравнить ее содержимое с такой же папкой на сервере. И мне надо, что бы показало все новые и измененные файлы. А просто два файлика сравнить, это я умею.

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Так, посмотрела и WinMerge, и плагин Compare поставила, все не то. Вы меня, видимо, не так поняли. Мне не два файла сравнить надо, а содержимое двух каталогов. К примеру, достаю из архива папку public_html, и хочу сравнить ее содержимое с такой же папкой на сервере. И мне надо, что бы показало все новые и измененные файлы. А просто два файлика сравнить, это я умею.

Команды под *nix,  в консоли:
find ./ -type f -name "*" -exec md5sum "{}" \;>>servermd5.txt - сканируем на сервере
find ./ -type f -name "*" -exec md5sum "{}" \;>>desktopmd5.txt - сканируем оригинальную версию

diff servermd5.txt desktopmd5.txt - сравнение двух фалов на разницу
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн tmpnikl

Lemady> Чтоб ввести команды консоли, надо ещё найти эту консоль на сервере, ftp клиенты, хостинг и т.д. всё зависит от хостера, как он настроил(я не нашёл эту консоль, где можно ввести команду find).. Самый универсальный способ(по моему мнению), как предлагали выше программа chfiles.php, которую можно подработать под себя и запустить в браузере... она может выдать атрибуты файлов и каталогов в текстовик... у себя, файлы и каталоги в архиве, тоже можете загнать в текстовик.. а вот дальше сравниваете эти два файла в той форме, в которой вам больше подходит, хотите результаты сравнения в тексте, хотите в HTML, Excel и т.д... но мне привычней, табличная форма сравнения...

*

Онлайн dmitry_stas

Так, посмотрела и WinMerge, и плагин Compare поставила, все не то. Вы меня, видимо, не так поняли. Мне не два файла сравнить надо, а содержимое двух каталогов.
и? сравнивайте, что мешает? или тяжело каталог выбрать, а не файл? :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн Lemady

и? сравнивайте, что мешает? или тяжело каталог выбрать, а не файл? :)
Нашла, как пользоваться - через жо! Там оказывается нужно выбрать в папке файл, а потом в пути файл удалить, оставить только папку. Так же и во втором поле. Задать папку явно нельзя. И для чего такой онанизм придумали?

*

Онлайн dmitry_stas

Задать папку явно нельзя. И для чего такой онанизм придумали?
видимо для вас :) потому что я задаю папку :) их даже просто перетягивать можно из проводника
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
И для чего такой онанизм придумали?
Ну по сути эта вся сфера деятельности... полный анонизм! добро пожаловать в наши ряды анонистов ;D
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн SeBun

добро пожаловать в наши ряды анонистов
Пдц! И ведь не поспоришь!  :laugh:
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование
Ник занят | По личным вопросам не консультирую