0 Пользователей и 1 Гость просматривают эту тему.
  • 12 Ответов
  • 266 Просмотров
*

denn70

  • Осваиваюсь на форуме
  • 111
  • 2
virusdie прислал список подозрительных файлов. Файлы действительно с плохим кодом) Вопрос по дате изменения файла

смотрю зараженный файл на серваке и чистый в бекапе - у обоих дата - 16.11.2015, но веса разные у файлов, как мог внестись вредоносный код в файл  и не изменить дату?

Ежесуточно cron присылает список измененных файлов, в этот день в списке изменяемых файлов этого файла нет. Как такое может быть, или я просто чего-то не понимаю, просвятите)

Некоторые зараженные файлы действительно имеют дату, отличную от файла из бекапа, но cron их тоже не спалил
*

dmitry_stas

  • Профи
  • 10030
  • 952
Re: Дата изменения зараженного файла
« Ответ #1 : 21.03.2017, 22:10:03 »
Цитировать
как мог внестись вредоносный код в файл  и не изменить дату?
touch
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

denn70

  • Осваиваюсь на форуме
  • 111
  • 2
Re: Дата изменения зараженного файла
« Ответ #2 : 21.03.2017, 23:54:21 »
touch

теперь догадываюсь)
*

dmitry_stas

  • Профи
  • 10030
  • 952
Re: Дата изменения зараженного файла
« Ответ #3 : 22.03.2017, 00:10:23 »
изменить дату модификации файла можно же. для этого существует touch
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

capricorn

  • Практически профи
  • 1687
  • 105
Re: Дата изменения зараженного файла
« Ответ #4 : 22.03.2017, 00:24:46 »
Цитировать
Ежесуточно cron присылает список измененных файлов, в этот день в списке изменяемых файлов этого файла нет. Как такое может быть

либо еще пришлет (последний скан прошел до заражения), либо шелл повредил сам скрипт сканирования файлов, если у вас что-то типа tripwire, исключив из скана те файлы, которые он заразил. если он такой умный оказался, что дату изменения сохранил, то это вполне возможно, хотя и маловероятно.
*

denn70

  • Осваиваюсь на форуме
  • 111
  • 2
Re: Дата изменения зараженного файла
« Ответ #5 : 22.03.2017, 10:00:55 »
либо еще пришлет (последний скан прошел до заражения), либо шелл повредил сам скрипт сканирования файлов, если у вас что-то типа tripwire, исключив из скана те файлы, которые он заразил. если он такой умный оказался, что дату изменения сохранил, то это вполне возможно, хотя и маловероятно.


cron такого вида find -iname "*.php" -mtime -1

а дата изменения файлов годовалой давности, смотрел за эту дату и рядом которые, изменений он не увидел. Но если можно изменить дату на старую, то наверное, cron и не срабатывает
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Re: Дата изменения зараженного файла
« Ответ #6 : 22.03.2017, 10:03:00 »
cron такого вида find -iname "*.php" -mtime -1

а дата изменения файлов годовалой давности, смотрел за эту дату и рядом которые, изменений он не увидел. Но если можно изменить дату на старую, то наверное, cron и не срабатывает
Все верно!, у вас скрипт ищет по дате модификации а не создания, дату модификации как правило взломщики меняют на дату создания, вот ваш скрипт мимо и проходит
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

capricorn

  • Практически профи
  • 1687
  • 105
Re: Дата изменения зараженного файла
« Ответ #7 : 22.03.2017, 10:12:48 »
я так понимаю, что вы ищете только файлы php, независимо от регистра, содержимое которых изменилось дата модификации которых изменилась менее, чем 1 день назад. Если touch работает, то дата может быть изменена шеллом.
ненадежный метод, на мой взгляд. вам могут шелл в другой тип файла залить. лучше поставьте скрипт, который будет содержимое всех файлов проверять.
« Последнее редактирование: 22.03.2017, 10:25:24 от capricorn »
*

SeBun

  • Практически профи
  • 3153
  • 193
  • @SeBun48
Re: Дата изменения зараженного файла
« Ответ #8 : 22.03.2017, 16:28:49 »
ТС, посмотрите вот этот скрипт. Ибо используемый вами метод неэффективен.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

flyingspook

  • Moderator
  • 3620
  • 236
Re: Дата изменения зараженного файла
« Ответ #9 : 22.03.2017, 23:51:44 »
Все верно!, у вас скрипт ищет по дате модификации а не создания, дату модификации как правило взломщики меняют на дату создания, вот ваш скрипт мимо и проходит
это что за скрипт такой, он что по содержимому или md5 не сравнивает размер
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Re: Дата изменения зараженного файла
« Ответ #10 : 23.03.2017, 11:10:40 »
это что за скрипт такой, он что по содержимому или md5 не сравнивает размер

cron такого вида find -iname "*.php" -mtime -1

а дата изменения файлов годовалой давности, смотрел за эту дату и рядом которые, изменений он не увидел. Но если можно изменить дату на старую, то наверное, cron и не срабатывает

вот смотрите:
Цитировать
find -iname "*.php" -mtime -1

где:
-iname - это поиск по именам файлам, которые "*.php" - имеют расширение php, у которых -mtime - дата модификации, -1  - не больше одного дня!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

denn70

  • Осваиваюсь на форуме
  • 111
  • 2
Re: Дата изменения зараженного файла
« Ответ #11 : 23.03.2017, 19:22:37 »
Благодарю за советы, попробую tripwire

По поводу моего скрипта уже понял, что ищет день назад, а там годовалой давности даты. Теперь все логично
*

flyingspook

  • Moderator
  • 3620
  • 236
Re: Дата изменения зараженного файла
« Ответ #12 : 23.03.2017, 20:05:46 »
вот смотрите:
где:
-iname - это поиск по именам файлам, которые "*.php" - имеют расширение php, у которых -mtime - дата модификации, -1  - не больше одного дня!
речь про скрипт, он должен сам искать изменения, а не командой по крону
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Проверка всех файлов на изменения

Автор kik84

Ответов: 8
Просмотров: 1096
Последний ответ 17.03.2015, 13:25:47
от kik84
Загрузка.txt файла при входе на сайт

Автор elka

Ответов: 10
Просмотров: 1074
Последний ответ 07.06.2014, 00:13:58
от elka
Backdoor.PHP.WebShell.fe, подмена содержимого файла.htaccess

Автор abssolut

Ответов: 12
Просмотров: 4839
Последний ответ 13.04.2013, 13:37:07
от abssolut
Изменения в index

Автор Fenux

Ответов: 6
Просмотров: 1050
Последний ответ 06.10.2011, 09:41:39
от NightGuard
.htaccess содержимое файла

Автор peoplee

Ответов: 8
Просмотров: 6265
Последний ответ 05.04.2011, 06:55:38
от one_more