Сканируем сайты! Сканер сайта или Shell and Backdoor Script Finder - страница 9 - Безопасность сайтов на Joomla

В бесплатный сканер добавлена база и функционал, теперь он работает практически на 100%, практически из-за его функциональности, нет возможности дать ему работать на все 100%. На сколько смогли на столько и увеличили объем его работы. Протестировали как можно и выложили в паблик.

Если у кого шарада хост и сервер уходит в аут то, сканировать можно не из корня, а по отдельности папки, тогда дохлые сервера все обработают.

В новом сканере тоже добавили функционал и базу. Также выложили урезанную по базе и функционалу демо версию для просмотра возможностей.

Добрый день!

Сейчас ищу в папках сайта eval(base64
Возник такой вопрос, все ли их можно удалять, к примеру: прячутся в таких вот строках:


После декода вышло это:

удалять ?

Да.Там редирект для пришедших с поисковиков

Спасибо, а хвост этот обязательно удалять   ? Ничего не посыпется из за него ?

Ситуация следующая:

Сайт кто-то хакнул, зачем-то в htacesss дописывает редирект на форум про кофе, зачем не понятно.

Запустил fls.php выпали результаты,
среди которых были как мне кажется подозрительны
с99 и Chartreuse,

также были:
$_POST
$_POST[
$pass
 $_COOKIE
$_REQUEST
confirm(
NCC
oRb
zerofill
urldecode
gzuncompress

Вопрос -- как выяснить какой из файлов хакнут и что в нем подчистить.

п.с. к сожалению архива чистой темы нет, на старой банке он...
но если сильно прижмет, то найдем.

обязательно удалять

Код

_KUNENA_WELCOME;?>

  ? Ничего не посыпется из за него ?

Это языковой ключ расширения-форум Kunena. Если форума нет, то удаляй.

Вопрос -- как выяснить какой из файлов хакнут и что в нем подчистить.

Проверять на соответствие файлу из архива разработчика, и скачанного из проверенного источника

Меня тоже интересует вопрос по выдачи.
Вышел набор:
String: confirm(
String: $pass
String: $_COOKIE
String: urldecode
String: NCC
String: $_POST
String: $_POST[
String: $_REQUEST
String: gzuncompress
String: zerofill
String: phpinfo()
String: c99
String: c100
String: boff
String: Chartreuse

Какие смотеть точно?

Какие смотеть точно?

проверять надо все

Сажите почему файл скрипта fls- PHP Sell&Backdoor сам определяется Антивирусом как ВИРУС?

Сажите почему файл скрипта fls- PHP Sell&Backdoor сам определяется Антивирусом как ВИРУС?

Спойлер

[свернуть]

проерял на virustotal.ком

проерял на virustotal.ком

Потому, что он в себе содержит те сигнатуры, по которому и выявляет те самые шелы/бегдоры!

Меня тоже интересует вопрос по выдачи.
Вышел набор:
String: confirm(
String: $pass
String: $_COOKIE
String: urldecode
String: NCC
String: $_POST
String: $_POST[
String: $_REQUEST
String: gzuncompress
String: zerofill
String: phpinfo()
String: c99
String: c100
String: boff
String: Chartreuse

Какие смотеть точно?

Смотрите все, анализируя логику выполнения.

Новый проект. Сайту две недели не полные.
Joomla!3x, обновляется регулярно - сама)). Все расширения скачивал с официальных сайтов. Шаблон фиксил сам - ни чего не дописывая, только удаляя лишнее.
Доступа ни у кого, кроме меня и (хостера  ) нет.
Комп рабочий стоит под комплексной защитой сервера антивирусного - даже порнуху гад не дает посмотреть  .
Про пароли:

Ну вроде по максимуму обезопасился перед началом работ.
Нарвался на эту ветку, скачал, проверил (вроде береженого Бог бережет)...

Chartreuse...
Повылазило в файлах редактора JCE. Скачивал у разработчика...
С99...
В картинках, которые я лично загружал - мои они)), и что интересно: одна картинка - с99, а остальные нет...
и в картинках шаблонов. шаблоны от разработчиков напрямую брал...
и в файлах редактора JCE. Скачивал у разработчика...
modules/mod_maximenuck/elements/ckmaximenuwizard/mobilemenu_topfixed.jpg. вот только что у разработчика скачал.
NCC...
com_attachments/images/help/en-GB/permissions-scenario2.png. Скачивал у разработчика...
boff...
media/editors/codemirror/mode/sql/sql.js - это вообще с сиэмэской ставится.
zerofill...
media/editors/codemirror/mode/sql/sql.js - это вообще с сиэмэской ставится.
media/editors/codemirror/mode/sql/sql.min.js - это вообще с сиэмэской ставится.
=================================================================

Сжальтесь, гуру, подскажите каким боком на это смотреть? Что такое zerofill, boff, NCC, С99 и Chartreuse.

Чем сканировали? в некоторых файлах бывают ложные срабатывание, так как используется часто распространенная сигнатура, тут только ручной анализ скажет вам правду!

Открой картинку редактором Notepad++ и найди с99

Что такое zerofill, boff, NCC, С99 и Chartreuse

Название шелов. Сканер находит и показывает те файлы которые могут содержать сигнатуры кода, если в файлах есть из писка в коде сигнатуры то сканер указывает и на них для ручной проверки(не обязательно что они заражены). Все сканеры облегчают поиск но нет универсальных которые за вас сделают работу. Чистка сайтов это ручная работа. Обязательно смотреть код глазами требуется.

Огромное спасибо за оперативность, коллеги. Даже и не рассчитывал так быстро ответ увидеть, а тут аж - три))

Чем сканировали? в некоторых файлах бывают ложные срабатывание, так как используется часто распространенная сигнатура, тут только ручной анализ скажет вам правду!

Сканер взял с сайта ТС данной темы: Site-Security (fls.php)

Открой картинку редактором Notepad++ и найди с99

Благодарю  , успокоил, действительно есть несколько вхождений по с99 в картинке))

Название шелов. Сканер находит и показывает те файлы которые могут содержать сигнатуры кода, если в файлах есть из писка в коде сигнатуры то сканер указывает и на них для ручной проверки(не обязательно что они заражены). Все сканеры облегчают поиск но нет универсальных которые за вас сделают работу. Чистка сайтов это ручная работа. Обязательно смотреть код глазами требуется.

Про ручную проверку предполагал, просто страшно стало, что сновА и сразу в яму)). Раньше варезниками пугали (да жизнь, как по Высоцкому, учила и наказывала ), а тут, вроде все с официальных сайтов и на тебе.
Типа - легкий шок)).

Еще раз благодарю.

Ну раз пошла такая пьянка - добавлю и свои три копейки в спокойствие будущих поколений)):
c99 и Chartreuse в скриптах JCE - это всего на всего определение цветовых значений.

c99 - встречается, например, в ряду: #cc9900","#cc9933","#cc9966","#cc9999","#cc99cc" и тд...
а Chartreuse стоит в одном ряду с такими определениями, как BlueViolet','#A52A2A':'Brown','#DEB887':'BurlyWood','#5F9EA0':'CadetBlue','#7FFF00':'Chartreuse','#D2691E':'Chocolate','#FF7F50':'Coral

Щас по сигнатуре c99 больше ложных сробатываний, чем оно есть на самом деле, на месте ТС я бы лучше убрал эту сигнатуру и модифецировал бы по подобию шела на что нить другое

по-ходу ваш сайт вирусы убили! ссылка не работает http://site-security.ru/nash-pervyj-skaner.html

ваш сайт вирусы убили

Пашутил...

по-ходу ваш сайт вирусы убили! ссылка не работает http://site-security.ru/nash-pervyj-skaner.html

Кому он нужен, если только сами прибьем его 
_{если что то интересует спросите напрямую}

Нашёл .../modules/mod_speedup/mod_speedup.php

Нашёл .../modules/mod_speedup/mod_speedup.php

а код модуля можно увидеть? недавно тоже нашел уязвимость в одном, не распространенном модуле: https://forum.antichat.ru/threads/50600/page-15#post-3917008  Joomla "mod_fxprev" exploit

А модуль откуда ?

mod_speedup

А модуль откуда ?

Что то подсказывает, что взломщиками установлен.

Господа, посоветуйте - на сайте обнаружился вредоносный код, к я его уже поудалял большей частью, но судя по тому что стопроцентно удалить не удается (это уже 3 попытка), видимо не всё, нашелся файл на который даже касперский ругается, возможно это как раз черный ход? Поглядите пожалуйста кто понимает в этом... http://travelsbase.ru/sys_conf.zip файл в архиве, пароль 1

Господа, посоветуйте - на сайте обнаружился вредоносный код, к я его уже поудалял большей частью, но судя по тому что стопроцентно удалить не удается (это уже 3 попытка), видимо не всё, нашелся файл на который даже касперский ругается, возможно это как раз черный ход? Поглядите пожалуйста кто понимает в этом... http://travelsbase.ru/sys_conf.zip файл в архиве, пароль 1

удаляй. Но не факт что этим ты решишь проблему, таких файлов еще куча может быть. Плюс если ты просто поудалял файлы но не поменял все пароли - на сайте и хостинге - все пойдет по новой

Пароли то я сменил, беспокоит что действительно может какие то огрызки остались, а не проще снести всё нафиг, оставить только шаблон и бд и ставить заново? в шаблоне не так много файлов их в конце концов можно просто изучить все (к сожалению бекап сайта есть но довольно старый)

все снести это при возможности - лучший вариант.

Пароли то я сменил, беспокоит что действительно может какие то огрызки остались, а не проще снести всё нафиг, оставить только шаблон и бд и ставить заново? в шаблоне не так много файлов их в конце концов можно просто изучить все (к сожалению бекап сайта есть но довольно старый)

Если вам своего времени не жалко то можно и так поступать, обычно все (недельные и месячные, а у кого и годовые) танцы с бубнами не равны 2-8тр профессионалов по чистке и обновлению, которое выполняется быстро и качественно.