1 2 3 ... 10   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 299 Ответов
  • 151615 Просмотров
*

flyingspook

  • Moderator
  • 3589
  • 247 / 9
Сканируем сайты! Сканер сайта или Shell and Backdoor Script Finder
« : 22.01.2012, 23:16:56 »
Новость от 08-09-2013

Хоть поддержка бесплатного сканера и прекращена сделано решение обновить его!
Добавлена база сигнатур и расширен функционал.

Также выложили демо версию сканера ssf.php

полностью прочитать и скачать можно тут

***********************************************************************************************

программа для чистки - замены и удаления AD Search&Replace качать с сайта разработчика http://www.abroaddesign.com/downloads.html
работает в указанной деректории и проходится по всем файлам 5-15 секунд на движок

Что ищем?
Приведем пример, это часть списка на что обращаем внимание, но у каждого кулцхакера свой почерк, и расширения с файлами тоже свои.
На сегодняшний день ищем заразу вроде
Спойлер
[свернуть]

Вот заразу можно искать автоматически, пока что удалять не получиться (из-за того что иногда коды файлов пересекаются), но найти её можно.

Мы начали разрабатывать расширение для сканирования заразы, в сыром виде оно уже обкатано скоро будет представлено в свет.

Просьба к тем кто находит у себя при чистки заразу Shell и BackDoor пишите в ЛС она нам нужна для расширения библиотеки.

Если кому что интересно тоже пишите в ЛС объясню подробнее.

Сканер сайита или Shell and Backdoor Script Finder

качаем

Положить в корень и вызвать  сайт/fls.php

Сканер сканирует все файлы из-за этого иногда ссылается на файлы сторонних расширений, полной авто замены не получилось пока что сделать, это в будущем. Но  у вас есть возможность видеть ситуацию и все просмотреть. Не слепо не зная что делать, а в нужном направлении.

Чистим сайты от зверей)))
Цитировать
Производим чисту/обновление сайтов, стоимость от 3500р. за сайт, полная оценка объема работ через доступ FTP
« Последнее редактирование: 18.03.2015, 15:40:29 от flyingspook »
Записан
*

MaxFarSeer

  • Захожу иногда
  • 384
  • 29 / 0
  • http://ru.ah.fm:80
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #1 : 30.01.2012, 18:45:55 »
по теме:
images/post.php
Записан
Не можете найти, где редактировать код? Читаем:
Быстрый и легкий поиск нужных файлов для редактирования чего-либо

Я много времени потратил на изменение готовых шаблонов, раскуривание чего и как там у буржуев, менял код вложенный в 100500 дивов, да они неплохи эти T3 и Warp (YOO), но стоит начать делать свой шаблон...Ребята!!! Всем советую! Свое - так легко настраивать!
*

hedeag

  • Захожу иногда
  • 377
  • 23 / 3
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #2 : 30.01.2012, 19:02:07 »
поставил +

молодцы парни, кстати про $_POST['pass']",
вот такой еще надо бы прописать decode($_POST

ну или заменить, вроде $_POST может использоваться в некоторых скриптах,  я не эксперт, просто делюсь предположением...



Langoliers сканер сканирует за секунды а перекачка с фтп и проверка нотепадом займет часы
« Последнее редактирование: 30.01.2012, 19:11:00 от hedeag »
Записан
*

wfedin

  • Завсегдатай
  • 1277
  • 102 / 0
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #3 : 30.01.2012, 21:43:07 »
Обратились визитку почистить месяц назад, если ТС надо то могу скинуть архив Акееба 8 мб.
Записан
*

flyingspook

  • Moderator
  • 3589
  • 247 / 9
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #4 : 31.01.2012, 08:59:36 »
2wfedin
конечно скидывай
Записан
*

hedeag

  • Захожу иногда
  • 377
  • 23 / 3
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #5 : 31.01.2012, 13:15:03 »
Langoliers ты троллишь, если ты не разбираешься в вопросе зачем писать белиберду такого рода
оудлпошущкагн8кнагнагкнкгн
Цитировать
Какие часы? За архивировать сайт без папки images займет меньше минуты
как раз часто дырка лежит в папке images ,потому что такие умники как ты не скачивают ее
Цитировать
Т.е. без подпапок? о_О я буду дольше мучаться.
мучаешь ты тут топик своим трольством, если не умеешь пользоваться или не разбираешься так научись или не троль
Цитировать
Полечится и будет ждать очередного падения сайта? Уязвимость кто будет искать?
это вообще эпик трололо
Цитировать
У меня пока ни одного взлома из 30+ сайтов не было..
а как по твоему ломают сайты, заходишь на сайт, а там вместо сайта- большой член? твои сайты могут быть уже сто раз взломаны с них происходят утечки данных, а ты может быть даже не в курсе

лучше забудь про эту тему вообще, а файл не качай он бяка, мы тут "дурачки" и качают его только "глупые люди", оно тебе не надо, нет такой темы и раздела безопасность вообще не существует...

п.с. извини что я себя так по хамски веду но я больше не могу выдерживать твое эпичное трололо
« Последнее редактирование: 31.01.2012, 13:46:41 от hedeag »
Записан
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #6 : 31.01.2012, 14:56:01 »
Цитировать
как раз часто дырка лежит в папке images ,потому что такие умники как ты не скачивают ее
Такие умники как я делают файл .htaccess со следующим содержанием:
Код
php_flag engine  off
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
И кладут его в папку images/ которая имеет права 755.
А по поводу троллить не троллить. Я свое ИМХО засунул оффтопом в спойлер, так что не нужно меня в этом обвинять.
Цитировать
это вообще эпик трололо
Не ну если вы не ищите, как взломали сайт и не затыкаете дыры, то пожалуй заткнусь я.
Записан
*

flyingspook

  • Moderator
  • 3589
  • 247 / 9
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #7 : 31.01.2012, 15:20:43 »
2Langoliers
дыры ищем, другими способами
(но после того как было присутствие, его запросто можно удалить и искать будет просто не чего)
а последствия (прибывания) тоже требуется устранять
вот и устраняем как умеем
а как известно
после драки кулаками не машут )) имхо
Записан
*

io77

  • Новичок
  • 16
  • 2 / 0
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #8 : 07.03.2012, 16:49:41 »
Было бы хорошо также добавить в поиск
"passthru(",
"shell_exec(",
"exec(",
"system(",
"gzinflate(",
"preg_replace(\"/.*/e",
"\$_FILES[",
и поиск рекламы:
"windows 7",
"porno",
"office 2010"
....
« Последнее редактирование: 07.03.2012, 19:46:06 от io77 »
Записан
*

draff

  • Живу я здесь
  • 3793
  • 248 / 6
  • Ищу работу
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #9 : 08.03.2012, 00:17:08 »
О,нашел вот такое
Спойлер
[свернуть]
Теперь жалею,что скрин не сделал.Спасибо flyingspook за скрипт.Только или я не пойму,но много пишет вроде нужных POST[
Записан
*

draff

  • Живу я здесь
  • 3793
  • 248 / 6
  • Ищу работу
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #10 : 08.03.2012, 17:43:38 »
Теперь буду знать.
Во время работы сканера, php пишет ошибки в error.log
Записан
*

artlux

  • Захожу иногда
  • 466
  • 58 / 0
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #11 : 30.03.2012, 11:48:42 »
Инструкуия по удалению бекдора,

1. просим доступ по shh у хостера, либо просим выполнить команду (может отличаться - нужно посмотреть ваш код в любом из зараженных php файлов у меня (--- eval(base64_decode("DQp.......Cn0="); --- )

Код
find . -type f -name '*.php' -exec perl -pi -e 's/eval\(base64_decode\(\"DQp.*Cn0=\"\)\)\;//g' '{}' \;

Код
eval(base64_decode("DQp.......Cn0=");
- удаляет вот эту заразу

2. Удаляем сам бекдор с папки images - файл post.php
3. Меняем пароли к базе и админке.
4. Обновляем Joomla до последней.


Возможно комуто поможет...
« Последнее редактирование: 30.03.2012, 11:53:15 от artlux »
Записан
Разработка расширений: Joomla 1.5+, Bitrix 12+, Мобильные приложения для сайтов под Android (PhoneGap).
Для бонусов: Z136221252622, R242724126443, U423945028202. +79211696184(Мегафон), или плюсик в репу!
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #12 : 30.03.2012, 12:24:22 »
Цитата: artlux от 30.03.2012, 11:48:42
Инструкуия по удалению бекдора,
1. просим доступ по shh у хостера
Ни один хостер не даст доступ по ssh если у Вас не VPS.
Записан
*

era

  • Администратор
  • 1583
  • 389 / 5
  • В туалете лучше быть пользователем, чем админом.
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #13 : 30.03.2012, 12:28:15 »
Цитата: Langoliers от 30.03.2012, 12:24:22
Ни один хостер не даст доступ по ssh если у Вас не VPS.
дают, но не все
Записан
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #14 : 30.03.2012, 12:48:07 »
Цитата: era от 30.03.2012, 12:28:15
дают, но не все
Ну вот я сам предоставляю хостинг и из соображений по безопасности я никому не дам доступ по SSH, чего бы там не просили...
Записан
*

draff

  • Живу я здесь
  • 3793
  • 248 / 6
  • Ищу работу
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #15 : 30.03.2012, 12:49:48 »
Не пойму а зачем такой изврат? Не проще сразу просто выполнить п.2?
2. Удаляем сам бекдор с папки images - файл post.php
Записан
*

flyingspook

  • Moderator
  • 3589
  • 247 / 9
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #16 : 30.03.2012, 14:00:22 »
Цитировать
2. Удаляем сам бекдор с папки images - файл post.php
сам post.php не является бакдор, это связующее между тем кто вскрыл доступ к вашему серверу, бакдор это залитый shell на ваш сервер
1-удалив post.php не факт что вы избавитесь от бакдор
2-
Цитировать
нужно посмотреть ваш код в любом из зараженных php
- как ни кто не поймет как можно назвать труд человека заразой и вирусом
3-
Цитировать
(--- eval(base64_decode("DQp.......Cn0="); --- )
-это используется/внедряется для редиректов на другие сайты и пишут во все файлы, еще бывает в js и хтачесс пишут редиректы
а на счет ssh
Цитировать
Ну вот я сам предоставляю хостинг и из соображений по безопасности я никому не дам доступ по SSH, чего бы там не просили...
1-ни за что не буду пользоваться таким хостингом
2-
Цитировать
просим доступ по shh
не все умеют пользоваться командами через ssh

2artlux а вообще может кому и пригодиться
Записан
*

draff

  • Живу я здесь
  • 3793
  • 248 / 6
  • Ищу работу
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #17 : 01.04.2012, 15:26:59 »
Не хочу холивара,
Цитировать
сам post.php не является бакдор, это связующее между тем кто вскрыл доступ к вашему серверу, бакдор это залитый shell на ваш сервер
1-удалив post.php не факт что вы избавитесь от бакдор
а что бекдор бывают только shell?По моему,бекдор-это любой скрипт,позволяющий хакеру получить права пользователя хостинга/сервера.
Записан
*

flyingspook

  • Moderator
  • 3589
  • 247 / 9
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #18 : 02.04.2012, 08:20:40 »
Цитировать
бекдор-это любой скрипт
ну тогда подбор паролей и сканирование или кражу пароля фтп, тоже считать бекдор, именно через них и получают доступ
Записан
*

AleksandrXXXXX

  • Новичок
  • 24
  • 0 / 0
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #19 : 05.04.2012, 23:14:00 »
Добрый день
подскажите пожалуйста что делать после того как получил результаты работы скрипта "Сканер сайита или Shell and Backdoor Script Finder"

Спойлер
[свернуть]

заменил несколько файлов на исходные они всё равно выводятся во время работы скрипта...
вирус кстати заразил только .js файлы и ссылок в php нет проверил replace.php из соседней темы...
заражёные файлы удалил но как сделать чтобы скрипт опять не сработал и завтра утром не пришлось бы это заново делать? (ФТП пароль сменил)
Записан
*

draff

  • Живу я здесь
  • 3793
  • 248 / 6
  • Ищу работу
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #20 : 06.04.2012, 08:18:39 »
Цитировать
как сделать чтобы скрипт опять не сработал и завтра утром не пришлось бы это заново делать?
Проверить файлы,выведенные сканером fls.php.
Записан
*

N2uM

  • Захожу иногда
  • 470
  • 20 / 0
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #21 : 06.04.2012, 10:04:12 »
у меня не работает(   залил в корень, после написал сайт/fps.php     а у меня всё-равно главная страница открывается
Записан
Лучшее спасибо это "+" в карму
*

flyingspook

  • Moderator
  • 3589
  • 247 / 9
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #22 : 06.04.2012, 10:21:49 »
сайт/fps.php
замените на
сайт/fls.php
Записан
*

darkmaster

  • Новичок
  • 18
  • 1 / 0
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #23 : 07.04.2012, 16:04:19 »
Извиняюсь что не по Joomla, но проблемы те же, а на других форумах хороших специалистов меньше. Есть магазин http://zoomagazin-aquarium.com.ua/ на движке вам шоп. Недавно под каждым модулем вылезла ссылка "гороскоп на сегодня" Загрузил ваш сканер просканировал, но ничего не нашел  :o. Подскажите, пожалуйста, где копать?
Записан
*

flyingspook

  • Moderator
  • 3589
  • 247 / 9
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #24 : 07.04.2012, 16:44:49 »
а что саму ссылку
<a href="http://akoula.ru/" style="font-size: 7pt;">гороскоп на сегодня</a>
найти в коде не можете?
Записан
*

darkmaster

  • Новичок
  • 18
  • 1 / 0
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #25 : 07.04.2012, 19:35:48 »
Нет она зашифрована
Записан
*

oriol

  • Завсегдатай
  • 1044
  • 100 / 4
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #26 : 07.04.2012, 19:54:39 »
открой скрипт и ты увидишь что он ищет (я качал давно возможно flyingspook что то поменял)
там есть
Код
"eval(base64_decode",
попробуй дописать еще так
Код
"eval",
"base64_decode",
ну и это если нет
Код
"gzuncompress",
"gzinflate",
"ob_start",
"str_rot13",
"encrypted",
« Последнее редактирование: 08.04.2012, 13:28:52 от oriol »
Записан
*

draff

  • Живу я здесь
  • 3793
  • 248 / 6
  • Ищу работу
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #27 : 07.04.2012, 20:43:51 »
Цитата: darkmaster от 07.04.2012, 16:04:19
Извиняюсь что не по Joomla, но проблемы те же, а на других форумах хороших специалистов меньше. Есть магазин http://zoomagazin-aquarium.com.ua/ на движке вам шоп. Недавно под каждым модулем вылезла ссылка "гороскоп на сегодня" Загрузил ваш сканер просканировал, но ничего не нашел  :o. Подскажите, пожалуйста, где копать?
Ну а где текст вывода работы сканера? Смотри в скрипте движка,выводящего материал статья.
п.с.
 :o ШОК ,в исходном коде
Спойлер
[свернуть]
« Последнее редактирование: 07.04.2012, 20:51:13 от draff »
Записан
*

darkmaster

  • Новичок
  • 18
  • 1 / 0
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #28 : 07.04.2012, 21:40:02 »
текст вывода работы сканера

Sheel and Basic Backdoor Script Finder www.1000in1.net

Fatal error: Call to undefined function hash_file() in /home/zoomagazin_a/data/www/zoomagazin-aquarium.com.ua/fls.php on line 42

строчек с фразой base64 сайт не содержит

права были открыты только сегодня, потому что пытался восстановить старую копию и подключал разные базы из бекапов.
« Последнее редактирование: 07.04.2012, 21:43:31 от darkmaster »
Записан
*

eclipseggg

  • Захожу иногда
  • 408
  • 32 / 2
Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder
« Ответ #29 : 07.04.2012, 23:19:39 »
искать в файлах пробывали различные кодировки и тому подобное, залатал им дыры, обновил движок, было залит когда то кем то WSO SHELL примерно в марте месяце=) вопрос решили)
Записан
1 2 3 ... 10   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Удалены файлы с сайта 1.error.php и 1.joomla_update.php

Автор Элана

 Ответов: 18
Просмотров: 666 		Последний ответ 04.12.2018, 23:55:37
от winstrool
Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

 Ответов: 636
Просмотров: 209087 		Последний ответ 04.12.2018, 21:35:56
от Serebro2009
Начали приходить письма с Google: Новый владелец сайта...

Автор dm-krv

 Ответов: 27
Просмотров: 790 		Последний ответ 24.11.2018, 22:49:03
от dm-krv
Клонирование сайта негодяем

Автор proandrey

 Ответов: 32
Просмотров: 783 		Последний ответ 21.11.2018, 20:50:09
от dm-krv
Полная копия сайта

Автор vitzer

 Ответов: 12
Просмотров: 590 		Последний ответ 20.11.2018, 16:17:13
от proandrey