Дата изменения зараженного файла

  • 12 Ответов
  • 235 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

Оффлайн denn70

virusdie прислал список подозрительных файлов. Файлы действительно с плохим кодом) Вопрос по дате изменения файла

смотрю зараженный файл на серваке и чистый в бекапе - у обоих дата - 16.11.2015, но веса разные у файлов, как мог внестись вредоносный код в файл  и не изменить дату?

Ежесуточно cron присылает список измененных файлов, в этот день в списке изменяемых файлов этого файла нет. Как такое может быть, или я просто чего-то не понимаю, просвятите)

Некоторые зараженные файлы действительно имеют дату, отличную от файла из бекапа, но cron их тоже не спалил

*

Оффлайн dmitry_stas

Re: Дата изменения зараженного файла
« Ответ #1 : 22.03.2017, 00:10:03 »
Цитировать
как мог внестись вредоносный код в файл  и не изменить дату?
touch
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн denn70

Re: Дата изменения зараженного файла
« Ответ #2 : 22.03.2017, 01:54:21 »
touch

теперь догадываюсь)

*

Оффлайн dmitry_stas

Re: Дата изменения зараженного файла
« Ответ #3 : 22.03.2017, 02:10:23 »
изменить дату модификации файла можно же. для этого существует touch
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

Оффлайн capricorn

Re: Дата изменения зараженного файла
« Ответ #4 : 22.03.2017, 02:24:46 »
Цитировать
Ежесуточно cron присылает список измененных файлов, в этот день в списке изменяемых файлов этого файла нет. Как такое может быть

либо еще пришлет (последний скан прошел до заражения), либо шелл повредил сам скрипт сканирования файлов, если у вас что-то типа tripwire, исключив из скана те файлы, которые он заразил. если он такой умный оказался, что дату изменения сохранил, то это вполне возможно, хотя и маловероятно.

*

Оффлайн denn70

Re: Дата изменения зараженного файла
« Ответ #5 : 22.03.2017, 12:00:55 »
либо еще пришлет (последний скан прошел до заражения), либо шелл повредил сам скрипт сканирования файлов, если у вас что-то типа tripwire, исключив из скана те файлы, которые он заразил. если он такой умный оказался, что дату изменения сохранил, то это вполне возможно, хотя и маловероятно.


cron такого вида find -iname "*.php" -mtime -1

а дата изменения файлов годовалой давности, смотрел за эту дату и рядом которые, изменений он не увидел. Но если можно изменить дату на старую, то наверное, cron и не срабатывает

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Re: Дата изменения зараженного файла
« Ответ #6 : 22.03.2017, 12:03:00 »
cron такого вида find -iname "*.php" -mtime -1

а дата изменения файлов годовалой давности, смотрел за эту дату и рядом которые, изменений он не увидел. Но если можно изменить дату на старую, то наверное, cron и не срабатывает
Все верно!, у вас скрипт ищет по дате модификации а не создания, дату модификации как правило взломщики меняют на дату создания, вот ваш скрипт мимо и проходит
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн capricorn

Re: Дата изменения зараженного файла
« Ответ #7 : 22.03.2017, 12:12:48 »
я так понимаю, что вы ищете только файлы php, независимо от регистра, содержимое которых изменилось дата модификации которых изменилась менее, чем 1 день назад. Если touch работает, то дата может быть изменена шеллом.
ненадежный метод, на мой взгляд. вам могут шелл в другой тип файла залить. лучше поставьте скрипт, который будет содержимое всех файлов проверять.
« Последнее редактирование: 22.03.2017, 12:25:24 от capricorn »

*

Оффлайн SeBun

  • ********
  • 3223
  • [+]189 / [-]5
  • Пол: Мужской
  • @SeBun48
    • Просмотр профиля
Re: Дата изменения зараженного файла
« Ответ #8 : 22.03.2017, 18:28:49 »
ТС, посмотрите вот этот скрипт. Ибо используемый вами метод неэффективен.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование
Ник занят | По личным вопросам не консультирую

*

Оффлайн flyingspook

Re: Дата изменения зараженного файла
« Ответ #9 : 23.03.2017, 01:51:44 »
Все верно!, у вас скрипт ищет по дате модификации а не создания, дату модификации как правило взломщики меняют на дату создания, вот ваш скрипт мимо и проходит
это что за скрипт такой, он что по содержимому или md5 не сравнивает размер

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Re: Дата изменения зараженного файла
« Ответ #10 : 23.03.2017, 13:10:40 »
это что за скрипт такой, он что по содержимому или md5 не сравнивает размер

cron такого вида find -iname "*.php" -mtime -1

а дата изменения файлов годовалой давности, смотрел за эту дату и рядом которые, изменений он не увидел. Но если можно изменить дату на старую, то наверное, cron и не срабатывает

вот смотрите:
Цитировать
find -iname "*.php" -mtime -1

где:
-iname - это поиск по именам файлам, которые "*.php" - имеют расширение php, у которых -mtime - дата модификации, -1  - не больше одного дня!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн denn70

Re: Дата изменения зараженного файла
« Ответ #11 : 23.03.2017, 21:22:37 »
Благодарю за советы, попробую tripwire

По поводу моего скрипта уже понял, что ищет день назад, а там годовалой давности даты. Теперь все логично

*

Оффлайн flyingspook

Re: Дата изменения зараженного файла
« Ответ #12 : 23.03.2017, 22:05:46 »
вот смотрите:
где:
-iname - это поиск по именам файлам, которые "*.php" - имеют расширение php, у которых -mtime - дата модификации, -1  - не больше одного дня!
речь про скрипт, он должен сам искать изменения, а не командой по крону