Форум русской поддержки Joomla!® CMS
04.12.2016, 10:11:17 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Ещё один опыт поиска вирусов, может кому пригодится

 (Прочитано 638 раз)
0 Пользователей и 1 Гость смотрят эту тему.
tmpnikl
Давно я тут
****

Репутация: +2/-0
Offline Offline

Сообщений: 234


« : 02.02.2016, 09:12:44 »

Начало работы начинается с запуска программы chfiles.php(я её постоянно копирую с локал на хостинг, с последующим удалением), которая формирует весь список файлов на хостинге, на котором 2 сайта(chfiles.tmk),  
2 этап
затем запускаю FAR-менеджер и копирую файлы(кроме картинок и документов) с хостинга на локальную машину, на локальной машине стоит антивирусник Dr Web, который показывает заражённые файлы(смотрю карантин), если есть заражённые, то я их удаляю и восстанавливаю их с исходников... Но помимо Dr_Web, проверяется в следующий день Касперским и следующий день авастом по очереди, кстати только аваст указал на вредноносный скрипт и заблокировал мой сайт, остальные не обратили внимание... В общем пробовать проверять разными антивирусниками...
3 этап Беру файл chfiles.tmk и программой на фоксе преобразую его в DBF файл (кому интересно программа в спойлере)
Показать текстовый блок
Получается вот такая таблица

4 этап У меня хранятся DBF файлы за прошлые дни, и посредством запросов я начинаю сравнивать на появление новых файлов на сайте, а также, если было удаление файлов... Также сравниваю размеры файлов и CRC, всё что изменилось заменяю с исходников..
Тут тоже могу поместить программу в спойлере если надо... но думаю это такие простыни, только отвлекают, тем более можно писать на любом языке, кто в чём горазд
5 этап начинаю сравнивать список файлов хостинга со списком файлов исходников также в формате DBF, т.к. к ним легко делать разного вида запросы, сортировки и т.д.... и также программа на VFP
Если ставлю какое-нибудь расширение, делаю список его файлов и их размер, и не важно заражён он или нет, потом устанавливаю на хостинг..., если после установки появляется изменение в файлах, то расширение удаляю... Т.е. у меня есть список в DBF файлах исходников Joomla и всех расширений, которые установлены
Сколько по времени занимает эта процедура, само копирование часа два, но я за это время делаю другую работу, а копирование идёт само по себе.. всё сравнение делается быстро в общем чистого времени уходит где-то полчаса

PS: Вначале пробовал айболитом проверять сайт, но тут нужен профессионализм которого у меня нет, т.к. я установил на хостинг сайт чистую Joomla и айболит показал, что есть какие-то опасные строчки, разбором этих строк я не стал заниматься, а просто отклонил этот метод проверки, и стал пробовать свой...
PPS: Долго думал, надо ли было это писать, и в общем-то сомневаюсь, что надо... поэтому если модератор посчитает, что это лишнее, то пусть удалит эту тему...:-)
« Последнее редактирование: 02.02.2016, 10:37:08 от tmpnikl » Записан
stepan39
Давно я тут
****

Репутация: +17/-0
Offline Offline

Пол: Мужской
Сообщений: 220



« Ответ #1 : 02.02.2016, 12:38:43 »

Может чего я конечно и не понял, но к чему такие "забубенности"?

Eyesite справляется с этим гораздо проще. Хочешь по крону на хостинге, хочешь через плагин - сканирует сайт и выдает новые, измененные и пр. файлы.
Записан
tmpnikl
Давно я тут
****

Репутация: +2/-0
Offline Offline

Сообщений: 234


« Ответ #2 : 02.02.2016, 13:35:21 »

Да, Вы правы, забубённости..:-), пусть модератор снесёт тему..:-)))
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #3 : 02.02.2016, 22:01:05 »

Пусть повисит, что сразу то сносить.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2650


step by step


« Ответ #4 : 02.02.2016, 22:49:08 »

Может чего я конечно и не понял, но к чему такие "забубенности"?

Eyesite справляется с этим гораздо проще. Хочешь по крону на хостинге, хочешь через плагин - сканирует сайт и выдает новые, измененные и пр. файлы.
Иногда  оставляю chfiles.php после чистки, конечно изменяя имя скрипта.
Смысл скрипта в простоте- сканирует директорию, которую можно указать в скрипте. И не нужно устанавливать доп.компонент.
Скрипт выдает список измененных файлов, удаленных файлов.
Записан
tmpnikl
Давно я тут
****

Репутация: +2/-0
Offline Offline

Сообщений: 234


« Ответ #5 : 18.02.2016, 07:41:45 »

Eyesite справляется с этим гораздо проще.
Хотелось бы спросить просто так для интереса...:-), например у меня всё время на хостинге появляются(или удаляются) файлы типа MEDIA\NEXTEND\CACHE\JS\N1455762600\CD25A7E1C90794E8E369E771B7AF608A.JS, понятно что этот аккордеон, образует кэш, куда добавляет кучу файлов, потом их удаляет.. но можно ли Eyesite отследить какой файл остался и не удаляется уже например два дня... что является подозрительным признаком, т.к. этот аккордеон за собой чистит весь кэш?
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #6 : 18.02.2016, 12:01:19 »

Так по логам и смотрите, можете еще вот этот плагин по пробовать.
Записан
tmpnikl
Давно я тут
****

Репутация: +2/-0
Offline Offline

Сообщений: 234


« Ответ #7 : 18.02.2016, 12:33:19 »

согласен...можно смотреть логи(или сделать поиск по строке)..:-), а можно написать команду select и пусть select сделает выборку записей файлов этого каталога по самой поздней дате ввода записи, когда эти файлы были добавлены... но в общем согласен, опять фигню "сморозил"..:-)
Записан
Lemady
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Женский
Сообщений: 60



« Ответ #8 : 25.09.2016, 20:31:19 »

А есть специализированный софт для сравнения файлов в Windows? Я делаю бекап папки public_html, мне интересно сравнить эти бекапы за разные периоды времени с целью выявить измененные-добавленные файлы.
Записан
dmitry_stas
Профи
********

Репутация: +794/-4
Offline Offline

Сообщений: 7738



« Ответ #9 : 25.09.2016, 20:59:02 »

полно. WinMerge например как по мне очень удобна
Записан
Lemady
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Женский
Сообщений: 60



« Ответ #10 : 25.09.2016, 21:04:21 »

Спасибо, попробую! А то не доверяю всяким плагинам, ведь если на сайт влезли и копаются в моих файлах, могут и плагин сломать, а я и не узнаю.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #11 : 25.09.2016, 22:24:39 »

в NotePad++ есть плагин "Compare" называется




полезное чтиво: http://wwdiz.ru/kak-sravnit-dva-fajla.html
Записан
Lemady
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Женский
Сообщений: 60



« Ответ #12 : 26.09.2016, 01:24:01 »

Так, посмотрела и WinMerge, и плагин Compare поставила, все не то. Вы меня, видимо, не так поняли. Мне не два файла сравнить надо, а содержимое двух каталогов. К примеру, достаю из архива папку public_html, и хочу сравнить ее содержимое с такой же папкой на сервере. И мне надо, что бы показало все новые и измененные файлы. А просто два файлика сравнить, это я умею.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #13 : 26.09.2016, 01:54:58 »

Так, посмотрела и WinMerge, и плагин Compare поставила, все не то. Вы меня, видимо, не так поняли. Мне не два файла сравнить надо, а содержимое двух каталогов. К примеру, достаю из архива папку public_html, и хочу сравнить ее содержимое с такой же папкой на сервере. И мне надо, что бы показало все новые и измененные файлы. А просто два файлика сравнить, это я умею.

Команды под *nix,  в консоли:
find ./ -type f -name "*" -exec md5sum "{}" \;>>servermd5.txt - сканируем на сервере
find ./ -type f -name "*" -exec md5sum "{}" \;>>desktopmd5.txt - сканируем оригинальную версию

diff servermd5.txt desktopmd5.txt - сравнение двух фалов на разницу
Записан
tmpnikl
Давно я тут
****

Репутация: +2/-0
Offline Offline

Сообщений: 234


« Ответ #14 : 26.09.2016, 07:04:58 »

Lemady> Чтоб ввести команды консоли, надо ещё найти эту консоль на сервере, ftp клиенты, хостинг и т.д. всё зависит от хостера, как он настроил(я не нашёл эту консоль, где можно ввести команду find).. Самый универсальный способ(по моему мнению), как предлагали выше программа chfiles.php, которую можно подработать под себя и запустить в браузере... она может выдать атрибуты файлов и каталогов в текстовик... у себя, файлы и каталоги в архиве, тоже можете загнать в текстовик.. а вот дальше сравниваете эти два файла в той форме, в которой вам больше подходит, хотите результаты сравнения в тексте, хотите в HTML, Excel и т.д... но мне привычней, табличная форма сравнения...
Записан
dmitry_stas
Профи
********

Репутация: +794/-4
Offline Offline

Сообщений: 7738



« Ответ #15 : 26.09.2016, 09:13:39 »

Так, посмотрела и WinMerge, и плагин Compare поставила, все не то. Вы меня, видимо, не так поняли. Мне не два файла сравнить надо, а содержимое двух каталогов.
и? сравнивайте, что мешает? или тяжело каталог выбрать, а не файл? Azn
Записан
Lemady
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Женский
Сообщений: 60



« Ответ #16 : 26.09.2016, 10:43:58 »

и? сравнивайте, что мешает? или тяжело каталог выбрать, а не файл? Azn
Нашла, как пользоваться - через жо! Там оказывается нужно выбрать в папке файл, а потом в пути файл удалить, оставить только папку. Так же и во втором поле. Задать папку явно нельзя. И для чего такой онанизм придумали?
Записан
dmitry_stas
Профи
********

Репутация: +794/-4
Offline Offline

Сообщений: 7738



« Ответ #17 : 26.09.2016, 10:46:32 »

Задать папку явно нельзя. И для чего такой онанизм придумали?
видимо для вас Azn потому что я задаю папку Azn их даже просто перетягивать можно из проводника
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #18 : 26.09.2016, 12:09:25 »

И для чего такой онанизм придумали?
Ну по сути эта вся сфера деятельности... полный анонизм! добро пожаловать в наши ряды анонистов Grin
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2272



« Ответ #19 : 26.09.2016, 12:28:41 »

добро пожаловать в наши ряды анонистов
Пдц! И ведь не поспоришь!  laugh
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet