Уважаемый flyingspook, я вот не пойму, с чего от вас внезапно столько негатива попрело. Либо вы не так поняли слово "шелл", либо не осознаете фактической угрозы. И уж тем более обвинять меня в том, что я их "наклепал" - это, извините, попахивает каким-то юношеским троллингом. Вы же модератор, представитель порядка. А ведете себя, как рядовой пользователь с кармой -100
Так вот давайте я вам для начала разъясню что к чему. А потом мы снова подружимся
Шелл - это вредоносных скрипт, который загружает хакер на хостинг через различные дыры в CMS/скриптах и конфигурации сервера. Шелл скрипт обычно написан на php, но бывают и на asp, java, c. В помощью шелл-скрипта можно просматривать содержимое фаловой системы (файловый браузер), можно загружать файлы в каталоги, можно менять права на файлы, можно дампить базы данных в файл, подсаживать всякую заразу в в файлы и многое другое.То есть шелл - это вселенское зло, которое, появившись на хостинге, обычно, в виде .php файла, дает свободу действий злоумышленнику.
Шелл-скриптов в природе существует масса. Я думаю, порядка 200-250 разновидностей публичных и множество приватных, которыми пользуются мегапрофессиональные хакеры, которые не светятся и не палятся о своими наработками.
Основная задача моего скрипта - обнаружить вредоносный код на хостинге. В частности - шеллы, которые я нахожу на сайтах клиентов, на своих сайтах, которые мне присылают пользователи скрипта, и которые я нахожу на форумах типа antichat.ru. Сбор базы сигнатур шеллов, по которым можно детектировать такой скрипт - это работа не тривиальная, поскольку вот так вот чтобы пойти и найти все существующие шелл-скрипты в открытом доступе - такого нет. Это не JCE модуль для Joomla качать. А еще после того, как нашел надо понять, какой кусок из скрипта добавить в базу в качестве сигнатуры, чтобы однозначно его идентифицировать.
Когда вы говорите о каких-то 3-5 шеллах, я вообще не понимаю, о чем вы. На прошлой неделе я случайно наткнулся на архив из 130 разных скриптов. И недостающие добавил в базу. То, что у вас они не появлялись на сайте отнюдь не означает, что их вообще не существует.
Далее - по поводу добавления редиректных ссылок и сигнатур вирусов. Да, я собираюсь добавлять более или менее общие фрагменты javascript вирусов в базу. Если вы мне расскажете универсальный эвристический алгоритм определения тела вируса в файле, я с радостью его имплементирую и не буду использовать базу сигнатур. Но мне кажется, что такой алгоритм написать проблематично. Именно по этой причине в базе современных антивирусов сотни тысяч фрагментов вирусов. Да, они тоже добавляют каждое тело отдельно.
Здесь мне могут возразить, что, дескать, скрипты могут обфусцироваться или шифроваться. Глупо добавлять все их вариации. Так я это и не делаю. Я нахожу кусок кода, который общий для семейства подобных вирусов и добавляю его. Также в скрипте реализована несложная эвристика, позволяющая определить подозрительные файлы, в которых используются конструкции, характерные для вирусов и вредоносных скриптов.
В общем, скрипт писался не один день и много в нем придумок, которые без многопользовательского тестирования бы и не пришло в голову.
Так что вот так.
И это...я вам ничего не должен. Я тут людям помочь хочу. Но если вы посчитаете, что я тут с какой-либо выгодой решил , как вы это называете, "рекламировать" свой бесплатный скрипт, прошу данную тему удалить, чтобы более не поднимать данный вопрос.