Дата изменения зараженного файла - Безопасность сайтов на Joomla

virusdie прислал список подозрительных файлов. Файлы действительно с плохим кодом) Вопрос по дате изменения файла

смотрю зараженный файл на серваке и чистый в бекапе - у обоих дата - 16.11.2015, но веса разные у файлов, как мог внестись вредоносный код в файл  и не изменить дату?

Ежесуточно cron присылает список измененных файлов, в этот день в списке изменяемых файлов этого файла нет. Как такое может быть, или я просто чего-то не понимаю, просвятите)

Некоторые зараженные файлы действительно имеют дату, отличную от файла из бекапа, но cron их тоже не спалил

как мог внестись вредоносный код в файл  и не изменить дату?

touch

touch

теперь догадываюсь)

изменить дату модификации файла можно же. для этого существует touch

Ежесуточно cron присылает список измененных файлов, в этот день в списке изменяемых файлов этого файла нет. Как такое может быть

либо еще пришлет (последний скан прошел до заражения), либо шелл повредил сам скрипт сканирования файлов, если у вас что-то типа tripwire, исключив из скана те файлы, которые он заразил. если он такой умный оказался, что дату изменения сохранил, то это вполне возможно, хотя и маловероятно.

либо еще пришлет (последний скан прошел до заражения), либо шелл повредил сам скрипт сканирования файлов, если у вас что-то типа tripwire, исключив из скана те файлы, которые он заразил. если он такой умный оказался, что дату изменения сохранил, то это вполне возможно, хотя и маловероятно.

cron такого вида find -iname "*.php" -mtime -1

а дата изменения файлов годовалой давности, смотрел за эту дату и рядом которые, изменений он не увидел. Но если можно изменить дату на старую, то наверное, cron и не срабатывает

cron такого вида find -iname "*.php" -mtime -1

а дата изменения файлов годовалой давности, смотрел за эту дату и рядом которые, изменений он не увидел. Но если можно изменить дату на старую, то наверное, cron и не срабатывает

Все верно!, у вас скрипт ищет по дате модификации а не создания, дату модификации как правило взломщики меняют на дату создания, вот ваш скрипт мимо и проходит

я так понимаю, что вы ищете только файлы php, независимо от регистра, содержимое которых изменилось дата модификации которых изменилась менее, чем 1 день назад. Если touch работает, то дата может быть изменена шеллом.
ненадежный метод, на мой взгляд. вам могут шелл в другой тип файла залить. лучше поставьте скрипт, который будет содержимое всех файлов проверять.

ТС, посмотрите вот этот скрипт. Ибо используемый вами метод неэффективен.

Все верно!, у вас скрипт ищет по дате модификации а не создания, дату модификации как правило взломщики меняют на дату создания, вот ваш скрипт мимо и проходит

это что за скрипт такой, он что по содержимому или md5 не сравнивает размер

это что за скрипт такой, он что по содержимому или md5 не сравнивает размер

cron такого вида find -iname "*.php" -mtime -1

а дата изменения файлов годовалой давности, смотрел за эту дату и рядом которые, изменений он не увидел. Но если можно изменить дату на старую, то наверное, cron и не срабатывает

вот смотрите:

find -iname "*.php" -mtime -1

где:
-iname - это поиск по именам файлам, которые "*.php" - имеют расширение php, у которых -mtime - дата модификации, -1  - не больше одного дня!

Благодарю за советы, попробую tripwire

По поводу моего скрипта уже понял, что ищет день назад, а там годовалой давности даты. Теперь все логично

вот смотрите:
где:
-iname - это поиск по именам файлам, которые "*.php" - имеют расширение php, у которых -mtime - дата модификации, -1  - не больше одного дня!

речь про скрипт, он должен сам искать изменения, а не командой по крону