0 Пользователей и 1 Гость просматривают эту тему.
  • 299 Ответов
  • 170078 Просмотров
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Новость от 08-09-2013

Хоть поддержка бесплатного сканера и прекращена сделано решение обновить его!
Добавлена база сигнатур и расширен функционал.

Также выложили демо версию сканера ssf.php

полностью прочитать и скачать можно тут

***********************************************************************************************

программа для чистки - замены и удаления AD Search&Replace качать с сайта разработчика http://www.abroaddesign.com/downloads.html
работает в указанной деректории и проходится по всем файлам 5-15 секунд на движок

Что ищем?
Приведем пример, это часть списка на что обращаем внимание, но у каждого кулцхакера свой почерк, и расширения с файлами тоже свои.
На сегодняшний день ищем заразу вроде
Спойлер
[свернуть]

Вот заразу можно искать автоматически, пока что удалять не получиться (из-за того что иногда коды файлов пересекаются), но найти её можно.

Мы начали разрабатывать расширение для сканирования заразы, в сыром виде оно уже обкатано скоро будет представлено в свет.

Просьба к тем кто находит у себя при чистки заразу Shell и BackDoor пишите в ЛС она нам нужна для расширения библиотеки.

Если кому что интересно тоже пишите в ЛС объясню подробнее.

Сканер сайита или Shell and Backdoor Script Finder


качаем


Положить в корень и вызвать  сайт/fls.php

Сканер сканирует все файлы из-за этого иногда ссылается на файлы сторонних расширений, полной авто замены не получилось пока что сделать, это в будущем. Но  у вас есть возможность видеть ситуацию и все просмотреть. Не слепо не зная что делать, а в нужном направлении.

Чистим сайты от зверей)))
Цитировать
Производим чисту/обновление сайтов, стоимость от 3500р. за сайт, полная оценка объема работ через доступ FTP
« Последнее редактирование: 18.03.2015, 15:40:29 от flyingspook »
*

MaxFarSeer

  • Захожу иногда
  • 384
  • 29 / 0
  • http://ru.ah.fm:80
по теме:
images/post.php
Не можете найти, где редактировать код? Читаем:
Быстрый и легкий поиск нужных файлов для редактирования чего-либо

Я много времени потратил на изменение готовых шаблонов, раскуривание чего и как там у буржуев, менял код вложенный в 100500 дивов, да они неплохи эти T3 и Warp (YOO), но стоит начать делать свой шаблон...Ребята!!! Всем советую! Свое - так легко настраивать!
*

hedeag

  • Захожу иногда
  • 377
  • 23 / 3
поставил +

молодцы парни, кстати про $_POST['pass']",
вот такой еще надо бы прописать decode($_POST

ну или заменить, вроде $_POST может использоваться в некоторых скриптах,  я не эксперт, просто делюсь предположением...



Langoliers сканер сканирует за секунды а перекачка с фтп и проверка нотепадом займет часы
« Последнее редактирование: 30.01.2012, 19:11:00 от hedeag »
*

wfedin

  • Завсегдатай
  • 1273
  • 102 / 0
Обратились визитку почистить месяц назад, если ТС надо то могу скинуть архив Акееба 8 мб.
*

hedeag

  • Захожу иногда
  • 377
  • 23 / 3
Langoliers ты троллишь, если ты не разбираешься в вопросе зачем писать белиберду такого рода
оудлпошущкагн8кнагнагкнкгн
Цитировать
Какие часы? За архивировать сайт без папки images займет меньше минуты
как раз часто дырка лежит в папке images ,потому что такие умники как ты не скачивают ее
Цитировать
Т.е. без подпапок? о_О я буду дольше мучаться.
мучаешь ты тут топик своим трольством, если не умеешь пользоваться или не разбираешься так научись или не троль
Цитировать
Полечится и будет ждать очередного падения сайта? Уязвимость кто будет искать?
это вообще эпик трололо
Цитировать
У меня пока ни одного взлома из 30+ сайтов не было..
а как по твоему ломают сайты, заходишь на сайт, а там вместо сайта- большой член? твои сайты могут быть уже сто раз взломаны с них происходят утечки данных, а ты может быть даже не в курсе

лучше забудь про эту тему вообще, а файл не качай он бяка, мы тут "дурачки" и качают его только "глупые люди", оно тебе не надо, нет такой темы и раздела безопасность вообще не существует...

п.с. извини что я себя так по хамски веду но я больше не могу выдерживать твое эпичное трололо
« Последнее редактирование: 31.01.2012, 13:46:41 от hedeag »
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
Цитировать
как раз часто дырка лежит в папке images ,потому что такие умники как ты не скачивают ее
Такие умники как я делают файл .htaccess со следующим содержанием:
Код
php_flag engine  off
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
И кладут его в папку images/ которая имеет права 755.
А по поводу троллить не троллить. Я свое ИМХО засунул оффтопом в спойлер, так что не нужно меня в этом обвинять.
Цитировать
это вообще эпик трололо
Не ну если вы не ищите, как взломали сайт и не затыкаете дыры, то пожалуй заткнусь я.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
2Langoliers
дыры ищем, другими способами
(но после того как было присутствие, его запросто можно удалить и искать будет просто не чего)
а последствия (прибывания) тоже требуется устранять
вот и устраняем как умеем
а как известно
после драки кулаками не машут )) имхо
*

io77

  • Осваиваюсь на форуме
  • 16
  • 2 / 0
Было бы хорошо также добавить в поиск
"passthru(",
"shell_exec(",
"exec(",
"system(",
"gzinflate(",
"preg_replace(\"/.*/e",
"\$_FILES[",
и поиск рекламы:
"windows 7",
"porno",
"office 2010"
....
« Последнее редактирование: 07.03.2012, 19:46:06 от io77 »
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
О,нашел вот такое
Спойлер
[свернуть]
Теперь жалею,что скрин не сделал.Спасибо flyingspook за скрипт.Только или я не пойму,но много пишет вроде нужных POST[
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Теперь буду знать.
Во время работы сканера, php пишет ошибки в error.log
*

artlux

  • Захожу иногда
  • 466
  • 58 / 0
Инструкуия по удалению бекдора,

1. просим доступ по shh у хостера, либо просим выполнить команду (может отличаться - нужно посмотреть ваш код в любом из зараженных php файлов у меня (--- eval(base64_decode("DQp.......Cn0="); --- )

Код
find . -type f -name '*.php' -exec perl -pi -e 's/eval\(base64_decode\(\"DQp.*Cn0=\"\)\)\;//g' '{}' \;

Код
eval(base64_decode("DQp.......Cn0=");
- удаляет вот эту заразу

2. Удаляем сам бекдор с папки images - файл post.php
3. Меняем пароли к базе и админке.
4. Обновляем Joomla до последней.


Возможно комуто поможет...
« Последнее редактирование: 30.03.2012, 11:53:15 от artlux »
Разработка расширений: Joomla 1.5+, Bitrix 12+, Мобильные приложения для сайтов под Android (PhoneGap).
Для бонусов: Z136221252622, R242724126443, U423945028202. +79211696184(Мегафон), или плюсик в репу!
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
Инструкуия по удалению бекдора,
1. просим доступ по shh у хостера
Ни один хостер не даст доступ по ssh если у Вас не VPS.
*

era

  • Администратор
  • 1587
  • 391 / 5
  • В туалете лучше быть пользователем, чем админом.
*

Langoliers

  • Давно я тут
  • 621
  • 67 / 2
  • Если б Я изучал людей, то был бы паразитологом
дают, но не все
Ну вот я сам предоставляю хостинг и из соображений по безопасности я никому не дам доступ по SSH, чего бы там не просили...
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Не пойму а зачем такой изврат? Не проще сразу просто выполнить п.2?
2. Удаляем сам бекдор с папки images - файл post.php
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Цитировать
2. Удаляем сам бекдор с папки images - файл post.php
сам post.php не является бакдор, это связующее между тем кто вскрыл доступ к вашему серверу, бакдор это залитый shell на ваш сервер
1-удалив post.php не факт что вы избавитесь от бакдор
2-
Цитировать
нужно посмотреть ваш код в любом из зараженных php
- как ни кто не поймет как можно назвать труд человека заразой и вирусом
3-
Цитировать
(--- eval(base64_decode("DQp.......Cn0="); --- )
-это используется/внедряется для редиректов на другие сайты и пишут во все файлы, еще бывает в js и хтачесс пишут редиректы
а на счет ssh
Цитировать
Ну вот я сам предоставляю хостинг и из соображений по безопасности я никому не дам доступ по SSH, чего бы там не просили...
1-ни за что не буду пользоваться таким хостингом
2-
Цитировать
просим доступ по shh
не все умеют пользоваться командами через ssh

2artlux а вообще может кому и пригодиться
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Не хочу холивара,
Цитировать
сам post.php не является бакдор, это связующее между тем кто вскрыл доступ к вашему серверу, бакдор это залитый shell на ваш сервер
1-удалив post.php не факт что вы избавитесь от бакдор
а что бекдор бывают только shell?По моему,бекдор-это любой скрипт,позволяющий хакеру получить права пользователя хостинга/сервера.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Цитировать
бекдор-это любой скрипт
ну тогда подбор паролей и сканирование или кражу пароля фтп, тоже считать бекдор, именно через них и получают доступ
*

AleksandrXXXXX

  • Осваиваюсь на форуме
  • 24
  • 0 / 0
Добрый день
подскажите пожалуйста что делать после того как получил результаты работы скрипта "Сканер сайита или Shell and Backdoor Script Finder"

Спойлер
[свернуть]

заменил несколько файлов на исходные они всё равно выводятся во время работы скрипта...
вирус кстати заразил только .js файлы и ссылок в php нет проверил replace.php из соседней темы...
заражёные файлы удалил но как сделать чтобы скрипт опять не сработал и завтра утром не пришлось бы это заново делать? (ФТП пароль сменил)
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Цитировать
как сделать чтобы скрипт опять не сработал и завтра утром не пришлось бы это заново делать?
Проверить файлы,выведенные сканером fls.php.
*

N2uM

  • Захожу иногда
  • 470
  • 20 / 0
у меня не работает(   залил в корень, после написал сайт/fps.php     а у меня всё-равно главная страница открывается
Лучшее спасибо это "+" в карму
*

darkmaster

  • Осваиваюсь на форуме
  • 18
  • 1 / 0
Извиняюсь что не по Joomla, но проблемы те же, а на других форумах хороших специалистов меньше. Есть магазин http://zoomagazin-aquarium.com.ua/ на движке вам шоп. Недавно под каждым модулем вылезла ссылка "гороскоп на сегодня" Загрузил ваш сканер просканировал, но ничего не нашел  :o. Подскажите, пожалуйста, где копать?
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
а что саму ссылку
<a href="http://akoula.ru/" style="font-size: 7pt;">гороскоп на сегодня</a>
найти в коде не можете?
*

darkmaster

  • Осваиваюсь на форуме
  • 18
  • 1 / 0
Нет она зашифрована
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
открой скрипт и ты увидишь что он ищет (я качал давно возможно flyingspook что то поменял)
там есть
Код
"eval(base64_decode",
попробуй дописать еще так
Код
"eval",
"base64_decode",
ну и это если нет
Код
"gzuncompress",
"gzinflate",
"ob_start",
"str_rot13",
"encrypted",
« Последнее редактирование: 08.04.2012, 13:28:52 от oriol »
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Извиняюсь что не по Joomla, но проблемы те же, а на других форумах хороших специалистов меньше. Есть магазин http://zoomagazin-aquarium.com.ua/ на движке вам шоп. Недавно под каждым модулем вылезла ссылка "гороскоп на сегодня" Загрузил ваш сканер просканировал, но ничего не нашел  :o. Подскажите, пожалуйста, где копать?
Ну а где текст вывода работы сканера? Смотри в скрипте движка,выводящего материал статья.
п.с.
 :o ШОК ,в исходном коде
Спойлер
[свернуть]
« Последнее редактирование: 07.04.2012, 20:51:13 от draff »
*

darkmaster

  • Осваиваюсь на форуме
  • 18
  • 1 / 0
текст вывода работы сканера

Sheel and Basic Backdoor Script Finder www.1000in1.net

Fatal error: Call to undefined function hash_file() in /home/zoomagazin_a/data/www/zoomagazin-aquarium.com.ua/fls.php on line 42

строчек с фразой base64 сайт не содержит

права были открыты только сегодня, потому что пытался восстановить старую копию и подключал разные базы из бекапов.
« Последнее редактирование: 07.04.2012, 21:43:31 от darkmaster »
*

eclipseggg

  • Захожу иногда
  • 410
  • 32 / 2
искать в файлах пробывали различные кодировки и тому подобное, залатал им дыры, обновил движок, было залит когда то кем то WSO SHELL примерно в марте месяце=) вопрос решили)
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 678
Просмотров: 243460
Последний ответ 14.09.2022, 14:29:43
от wishlight
Способы защиты сайта от DDoS атак?

Автор IgorMJ

Ответов: 7
Просмотров: 1226
Последний ответ 05.10.2021, 21:39:26
от ShopES
Тестирую сайты на уязвимости

Автор SalityGEN

Ответов: 0
Просмотров: 473
Последний ответ 21.08.2021, 23:01:01
от SalityGEN
Новый набег ботов в регистрации сайта... Какой в этом смысл то?

Автор Cedars

Ответов: 11
Просмотров: 1069
Последний ответ 03.11.2020, 17:36:03
от Cedars
Мониторинг файлов CMS и сайта - предлагаю решение

Автор GRIG

Ответов: 18
Просмотров: 4380
Последний ответ 28.08.2020, 22:00:30
от cntrl