Сканируем сайты! Сканер сайта или Shell and Backdoor Script Finder

flyingspook

Moderator
3590
247 / 9

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #120 : 14.10.2012, 12:05:17 »

2udzin
Спасибо, в сканере это будет реализовано, точнее уже есть но в новом, его скоро представим

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

apolomax

Новичок
6
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #121 : 06.11.2012, 11:22:18 »

Ребята помогите! 1)около 2 месяцев назад взломали сайт, я подумал. что просто сбой, на всех страницах перед контентом был какой-то код. потом всё стало нормально. 2) пару недель назад купил программу page-weiht и обнаружил исходящие ссылки с сайта на каждой странице после контента и перед футером: <div style="display:none"><a href="http://"></a></div>, сейчас это выглядит так, как указанно выше, раньше была полноценная ссылка. Шаблон рукописный в артистер, версия Joomla 1.5.25. Думаю надо искать в расширениях, но как не знаю, на хостинге всё перелопачиавть вручную долго. сайт http://pianomax.ru/ Готов заплатить! Для меня это дело принципа. Заранее благодарен! Использовал вашу программу, нашёл только это:File: /home/users1/a/apolomax/domains/for-pianomax/components/com_mailto/controller.php
String:: $_POST[

File: /home/users1/a/apolomax/domains/for-pianomax/components/com_jcomments/tpl/default/tpl_comment.php
String:: confirm(

File: /home/users1/a/apolomax/domains/for-pianomax/components/com_content/content.php
String:: $_POST[

File: /home/users1/a/apolomax/domains/for-pianomax/administrator/components/com_jcomments/admin.jcomments.html.php
String:: confirm(

File: /home/users1/a/apolomax/domains/for-pianomax/administrator/components/com_jcomments/admin.jcomments.php
String:: $_POST[

File: /home/users1/a/apolomax/domains/for-pianomax/administrator/components/com_content/admin.content.html.php
String:: confirm(

File: /home/users1/a/apolomax/domains/for-pianomax/administrator/components/com_trash/admin.trash.html.php
String:: confirm(

File: /home/users1/a/apolomax/domains/for-pianomax/libraries/joomla/html/toolbar/button/confirm.php
String:: confirm(

File: /home/users1/a/apolomax/domains/for-pianomax/libraries/joomla/environment/request.php
String:: $_POST[

Записан

gangstarcj

Захожу иногда
189
8 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #122 : 06.11.2012, 13:17:22 »

Попробую ваше решение. Уже третий раз взламывают. Доступ к фтп только по моему IP, пароль от фтп тоже меняется частенько. На компе стоит касперский.
Первый раз был изменен .htacces и несколько файлов index.php
Второй раз прибавилась огромная куча еще разных PHP файлов.
Сейчас же созданы новые файлы php которые лежат в папке administrator, названия у файлов абсолютно разные и их может быть несколько, в файлах кроется все тот же злостный eval. И подключается к индексу через requere_once("administrator/file.php")

Нашел кучу всего, удалил несколько файлов. Сайт перестал открываться, удалил requre_once из индекса, но вирус всеравно остался гдето.
Кстати вирус работает только на мобайле (телефон, планшет) пересылает на сайт с зловредной оперой 7.

Я так понял ваш скрипт не удаляет и не лечит файлы? а просто находит где может быть проблема?
И еще в вашем скрипте тоже какойто страшный eval или это он уже заразился?

« Последнее редактирование: 06.11.2012, 13:59:49 от gangstarcj »

Записан

flyingspook

Moderator
3590
247 / 9

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #123 : 06.11.2012, 14:31:07 »

Цитировать

Я так понял ваш скрипт не удаляет и не лечит файлы? а просто находит где может быть проблема?

это - Сканер! он не может лечить и не должен(не надо путать с антивирусными программама), он показывает те файлы которые необходимо проверить на наличие стороннего кода и shell утилит

сайт это не программы на ПК, и не один антивирус не будет хранить базу сигнатур, и не будет лечить файлы, будет просто файлы с подозрениями удалять(что повлечет за собой неработоспособность сайта)

вопрос не первый раз поднимается ответ один кто думает что Сканер! это антивирусная программа, пусть ответит себе сам почему разработчики известных антивирусов не сделали сие чудо

ответ-потому что практически невозможно подстроить под каждую CMS и код сайта

Цитировать

И еще в вашем скрипте тоже какойто страшный eval или это он уже заразился?

это чтобы антивирус не ругался

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

gangstarcj

Захожу иногда
189
8 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #124 : 06.11.2012, 15:18:54 »

Спасибо за разъяснение

Записан

igor-008

Захожу иногда
61
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #125 : 09.11.2012, 11:56:38 »

Добрый день!
На всех сайтах хостинга прописался eval(base64_decode...
Кто поможет устранить проблему, выявит причину и закрыть уязвимости?

Записан

AlexGendolf

Новичок
2
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #126 : 16.11.2012, 15:24:49 »

Доброе время суток! Нужна помощь по теме )). Как с Вами связаться?

« Последнее редактирование: 16.11.2012, 20:18:39 от flyingspook »

Записан

AlexGendolf

Новичок
2
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #127 : 16.11.2012, 20:56:42 »

Благодарю за оперативный ответ))))
сайт, уже месяца три пытаюсь очистить от чужих страниц и вирусов. Они появляются опять, началась паранойя. Сам умею только текст набирать, и то с ошибками. Пока заношу те страницы которые нашел в робот.тх. но смысл в предотвращении подобной истории. Сколько может стоить подобная услуга не знаю даже приблизительно, может понадобится время что бы собрать нужную сумму. Написал как мог.

« Последнее редактирование: 16.11.2012, 22:36:45 от flyingspook »

Записан

flyingspook

Moderator
3590
247 / 9

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #128 : 16.11.2012, 22:37:01 »

читайте почту

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

mark1

Захожу иногда
394
39 / 2

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #129 : 18.11.2012, 04:24:38 »

2flyingspook: Добрый день, спасибо за ваш труд! В копилочку вам хотел предложить гадость, найденную у себя вручную (а точнее, через AVG).
Лежит в \modules\mod_zetta. Скрипт ее не видит.

« Последнее редактирование: 18.11.2012, 11:43:51 от flyingspook »

Записан

flyingspook

Moderator
3590
247 / 9

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #130 : 18.11.2012, 11:47:01 »

@mark1
спасибо, еще не знаю что там, но думаю новый скрипт её уже видит
сделайте скрин или выборку функций, не стоит грязные архивы прикреплять, и код на прикрепляйте тоже(функций PHP или скрина файла хватит)

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

Zeya

Захожу иногда
177
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #131 : 19.11.2012, 16:37:09 »

flyingspook, огромное спасибо за Вашу оперативную помощь! Полгода билась с непонятными глюками (вирусней) на сайте, ребята все быстро вычистили!
не сочтите за флуд...

Записан

mark1

Захожу иногда
394
39 / 2

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #132 : 19.11.2012, 20:35:18 »

Цитата: flyingspook от 18.11.2012, 11:47:01

@mark1
спасибо, еще не знаю что там, но думаю новый скрипт её уже видит
сделайте скрин или выборку функций, не стоит грязные архивы прикреплять, и код на прикрепляйте тоже(функций PHP или скрина файла хватит)

1) что значит "новый"? Прикрепленный к теме скрипт датирован 26.05.2012
2) Приложенную/указанную мной заразу этот "новый" скрипт не видит. Как и скрипт ai-bolit.
3) Код зашифрован слегка, по схеме очень похож на вот этот: http://stackoverflow.com/questions/3328235/how-does-this-giant-regex-work Я же в архиве приаттачил, имхо это не было опасно. Зачем было тереть сообщение - не пойму.

Кстати, шелл оформлен как модуль Joomla

« Последнее редактирование: 19.11.2012, 21:00:39 от mark1 »

Записан

flyingspook

Moderator
3590
247 / 9

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #133 : 19.11.2012, 21:56:57 »

сканер все ищет это старый shell, а про новый это платный скрипт, пишу описание работы и на днях сообщим
приататченый в паблике так и останется мы его менять и дорабатывать не будем, у платного будет полная поддержка и доработка

вы попробуйте и откройте файл со строками до preg_replace( и посмотрите что сделает антивирус так и ваш прикрепленный архив он просто его не захотел

сказал не съедобно

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

zaharchenkoa

Новичок
1
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #134 : 28.11.2012, 18:04:53 »

Хочу заказать "чистку сайта от зверей", как с вами можно связаться?

« Последнее редактирование: 28.11.2012, 18:07:38 от flyingspook »

Записан

beaviz

Осваиваюсь на форуме
26
1 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #135 : 29.11.2012, 22:44:50 »

Добрый день, коллеги!
Внимательно всё читал в течение двух часов, смотрел, чистил.
С помощью скана наткнулся на запись:

Код

File: /home/virtwww/w_shardesign-ru_44993849/http/templates/adad/scopbin/911006.php
String:: c99

Внутри обнаружил код, необычно отформатированный и какой-то неявный...

Спойлер

[свернуть]

Это ведь оно, правда?

Записан

Sable

Захожу иногда
95
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #136 : 29.11.2012, 23:00:44 »

Мне только кажется или действительно осенью бум начался на заражение ? Прям октябрь-ноябрь "удачно" пошли у многих.
У меня тоже такая же шляпа

Записан

flyingspook

Moderator
3590
247 / 9

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #137 : 30.11.2012, 00:14:32 »

Цитировать

Внутри обнаружил код, необычно отформатированный и какой-то неявный...

толи еще будет

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

beaviz

Осваиваюсь на форуме
26
1 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #138 : 30.11.2012, 00:19:23 »

Оказалось, не страшно...
Просто криптнутый код шаблона. Кто-то заморочился и решил его расковыять...
Подробнее здесь: ivanvillareal.com/development/php-development/decrypting-sourcecop-php-files/

Записан

Sable

Захожу иногда
95
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #139 : 30.11.2012, 00:29:15 »

подскажите значение: String:: $_POST[ ; String:: confirm(; String:: WebControls; String:: phpinfo(); String:: default_action = 'FilesMan'; String:: FilesMan; String:: c99; String:: c100

Записан

Djahat

Осваиваюсь на форуме
30
1 / 2

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #140 : 02.12.2012, 16:00:51 »

Вот такой результат что то означает ?

Спойлер

[свернуть]

« Последнее редактирование: 02.12.2012, 18:53:52 от flyingspook »

Записан

nick71

Завсегдатай
1145
12 / 12
Сайты любой сложности - обращайтесь

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #141 : 03.12.2012, 13:27:58 »

да я не паникую, хотя конечно неприятно, и что-то делать надо. Порылся по файлам - не нашел пока ничего подозрительного, хотя не настолько я спец, может пропустил что. Еще подсказывают что зараза прописана может быть не в файлах а в базе, но опять же - что именно искать, что это "mail" к ссылкам прописывает?

Записан

natta007

Новичок
4
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #142 : 09.12.2012, 19:58:15 »

Здравствуйте! Помогите пожалуйста, не могу понять, где что искать и как избавиться от вредоносного кода, который нашел Яндекс на нашем сайте

Спойлер

[свернуть]

скачала fls, запустила, выдает следующий текст

Спойлер

[свернуть]

а что делать дальше - я не знаю. Прошу прощения за непрофессиональный подход и вопрос, но кроме меня сейчас некому исправить проблему, а из-за нее - наши клиенты боятся заходить на сайт .

Предыстория- за несколько дней до появления "вредоносного кода" на сайте - заходя на сайт открылось белое окно с надписью Illegal variable _files or _env or _get or _post or _cookie or _server or _session or globals passed to script.

решила проблему как описано на этом сайте

Цитата: nixsystem от 19.03.2012, 18:52:10

Возникла проблема. При входе выводит строчку
Illegal variable _files or _env or _get or _post or _cookie or _server or _session or globals passed to script.

Решение:
В файле request.php
libraries/joomla/environment/request.php

Строку:
Код: php
$failed |= is_numeric( $key );
Закоментить вот так:
Код: php
//$failed |= is_numeric( $key ); 

все заработало, но через день или два начались проблемы с вредоносными кодами ((((

(ощущение такое, будто кто-то специально пытается все сломать.. к слову три дня подряд блокируют мэил ру и вынуждают менять пароль ( мой мир) из-за попытки взлома страницы. плюс каждый день переплачиваем за превышение процессорной нагрузки с разных ip)

Хотелось бы разобраться что к чему и как-то обезопасить сайт в будущем, если это возможно.

Заранее спасибо за помощь и извините, если не в ту тему написала о проблеме.

Записан

natta007

Новичок
4
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #143 : 13.12.2012, 13:27:25 »

никто помочь не хочет.. (

пока я разобралась с тем, что во все скриптовые файлы сайта прописан код

Спойлер

[свернуть]

в ручную пыталась все эти коды удалить, поменяла пароли к ftp, админке.., сделала бэкап сайта, но на главной странице, в исходном коде все равно виден этот вредоносный монстр ((((

что я не так делаю? помогите пожалуйста!

Записан

draff

Гуру
5801
434 / 7
ищу работу

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #144 : 13.12.2012, 15:27:37 »

natta007
Результат сканера, от 09.12- все ок, но нужно просмотреть каждый файл.
Ищи в коде index.php вставленный тобой код, который может добавлять вредоносный код, с другого сайта/сервера

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

natta007

Новичок
4
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #145 : 13.12.2012, 16:12:43 »

Спасибо за ответ!
Вроде справилась с Linkfoot
протестировала сайт онлайн
теперь выдает вот что

Спойлер

[свернуть]

теперь я вообще ничего не понимаю.. ни в одном скрипте я не вижу фейсбук, удалила с сайта плагин с кнопками соц сетей, а что дальше уже не соображаю.. я уже трое суток не сплю нормально, тк пришлось во всем разбираться с нуля самой, но, видимо, сказывается то, как все это меня достало, поэтому я уже ничего не могу сама понять

если не сложно, подскажите, что с этим делать?
а еще - совсем не поняла, как пункт 10 связан с сайтом? где его искать?

Записан

flyingspook

Moderator
3590
247 / 9

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #146 : 13.12.2012, 16:20:10 »

ну во первых выспаться, и на свежею голову все сделать,
прочитать ту ссылку что отправлял и понять что именно искать необходимо,
может ругается не на ваш сайт такое бывает с googl api как то проблема была, антивирусники как наши депутаты делают иногда о не зная что потом штаны подтирают за собой же

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

draff

Гуру
5801
434 / 7
ищу работу

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #147 : 13.12.2012, 16:27:17 »

Цитировать

а еще - совсем не поняла, как пункт 10 связан с сайтом? где его искать?

Смотри где у тебя подгружается http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js
Отключи его.И скачай, подключи нормальный 1.7.1/jquery.min.js

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

natta007

Новичок
4
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #148 : 13.12.2012, 16:29:02 »

flyingspook, Спасибо, выспаться -это точно то, что нужно ))

Спасибо за ссылку, поизучаю, может воспользуюсь

draff, спасибо, буду пробовать

Записан

h3moff

Осваиваюсь на форуме
17
0 / 0

Re: Сканируем сайты! Сканер сайита или Shell and Backdoor Script Finder

« Ответ #149 : 22.12.2012, 02:53:25 »

При открытии сайт/fls.php
выходит ошибка
Fatal error: Call to undefined function hash_file() in ***/docs/fls.php(11) : eval()'d code on line 40

Это нормально?

Записан

При открытии сайта с режима инкогнито перекидывает на вирусный сайт Автор 62411	Ответов: 6 Просмотров: 3826	31.03.2024, 16:14:32 от SeBun
Компоненты и скрипты для защиты сайта. Логи атак на сайты Автор wishlight	Ответов: 678 Просмотров: 271197	14.09.2022, 14:29:43 от wishlight
Способы защиты сайта от DDoS атак? Автор IgorMJ	Ответов: 7 Просмотров: 3108	05.10.2021, 21:39:26 от ShopES
Тестирую сайты на уязвимости Автор SalityGEN	Ответов: 0 Просмотров: 1172	21.08.2021, 23:01:01 от SalityGEN
Новый набег ботов в регистрации сайта... Какой в этом смысл то? Автор Cedars	Ответов: 11 Просмотров: 2733	03.11.2020, 17:36:03 от Cedars

🏆 Открыто голосование за Joomla в премии CMS Critic People’s Choice Awards 2025

👩‍💻 Релиз JoomGallery 4.3.0 - компонент галереи изображений для Joomla.

👩‍💻 Вместе мы развиваем Joomla: станьте Joomfluencer!

Похожие темы