Собираю базу всевозможных названий шеллов, т.е. имен файлов которыми вы называете ваши шеллы, данная база будет использоваться в сканере. Как соберем базу покажу, расскажу.

моя база, небольшой 2 минутный набросок, остальная часть на флешке, которой нет рядом в данный момент.

C99madShell.php
c99-safe-mode.php
c99edit.php
c99shell.php
DownloaderToFTP.php
GFS.php
NetworkFileManager.php
NiX.php
r57MySQL_FileViewer.php
r57shell.php
MySQLBackUpAll.php
MySQLBackUpOnce.php
webadmin.php
cihshell.php
Sql.php
a_gedit.php
Antichat.php
bk.php
c2007.php
Casus15.php
CmdAsp.php
Csh.php
Ctt_sh.php
Cybershell.php
DxShell.php
gfs_sh.php
grp-2018.php
Hidshell.php
iMHaPFtp.php
Load_shell.php
NFM.php
NGH.php
Nixrem.php
NST.php
Phvayvv.php
Predator.php
r0t.php
Remview.php
Zacosmall.php
Rashell.php
Xoce.php
img.php
mailer3.php
myshell.php
mysql_tool.php
mysql.php
network.php
nshell.php
ru24_post_sh.php
shell.php
c99.php
vso.php
sh.php
s.php
1.php
111.php
0.php
2.php
3.php
r57.php
c99madshell.php
rst.php
99.php
57.php
r.php
info.php
config.php
db.php
php.php
1.php
2.php
3.php
4.php
5.php
6.php
7.php
8.php
9.php
c.php
qwe.php
test.php
sss.php
ss.php
ph.php
h.php
index2.php
index3.php
index4.php
index5.php
file.php
img.php
i.php
phpinfo.php
dir.php

как верну флешку дополню свой список, и с радостью просмотрю ваши варианты, думаем, дополняем, пишем. Думаю не мне одному пригодится.

По моему не очень удачная идея, название шелла всегда просто маскируется под названия окружающих соседей-файлов. Поэтому практически всегда название уникальное фактически в большинстве случаях.

Хотя смысл затеи ясен как пень:)

Дык ту все просто как дважды два, большой процент шеллов лежит на сайтах так, как их скачивают с подобных этому ресурсов. Да и причины могут быть разные, но смысл один.

Для RFI - alert.php, get.php, shell.txt
На сайте смысла искать нет, обычно маскируется под картику в папке с картинками, либо тупо index.php в папке, где это возможно.

Хм... частенько такое бывет, находишь скуль, получаешь админку, льешь шелл, юзаешь сервак и там парочка шеллов shell.php и c99.php
Так что, как бы раз на раз не приходится.
Не сталкивался бы, не поднимал тему.

В таком случае искать надо по примерному (+-100 байт) размеру, по CRC, по сигнатурам. Это выйдет куда эффективнее.

--------------------------------
c99_gz.php
c99.php
r57.php
ss_bz.php
ss_gz.php
ss.php
wso2_bz.php
wso2_gz.php
wso2.php
zaco_bz.php
zaco_gz.php
zaco.php

В таком случае искать надо по примерному (+-100 байт) размеру, по CRC, по сигнатурам. Это выйдет куда эффективнее.
Любой сканер директорий/файлов на сервере - это попытка удачи. А не тотальный посимвольный перебор.
Исходя из чего я собираю "словарь" для подбора, а не пишу тупо брут.

c9999.php
i
rr57.php

В таком случае искать надо по примерному (+-100 байт) размеру, по CRC, по сигнатурам. Это выйдет куда эффективнее.


по контенту

Fotott.php

gzr.php
zz.php
ss.php
img_[1-9]*.php
function.php

*[1-9] - надеюсь, понял, что я имею ввиду.

indexc.php

config1.php

config.php
img.php
php.php
ss.php

eo.php
x.php
admining.php
indeks.php
________________________

PS Хорошая идейка кстати сканер шшелов )))

да-да, идея просто отличная! Сами "хеккеры" палят названия своих веб-шеллов..

обзываю в зависимости от файлов расположенных в дире. + пасс на шелл :)
ЫЫЫЫ Артемко первед

License.php - хорошее название.

по разному называю...
cohfig.php
lng.php
haeder.php

library.php
dll.php ))

если вордперсс то wp-%.php

findme.php
xekme.php
fucku.php
ya_shell.php
SHELL.php
VIRUS.php

ну ппц, кто ж даст свои реал названия..=\

ps: и кстати, что-то вы врете или я просто еще не встречался с вами на хосте)))

По моему не очень удачная идея, название шелла всегда просто маскируется под названия окружающих соседей-файлов. Поэтому практически всегда название уникальное фактически в большинстве случаях.
Пашкела прав

Пашкела прав
прав, но большинство начинающих хеккеров использует имя по дефолту, влом менять на другое просто-напросто..

YASUPERHACKER.php

Бредовая затея. Как уже сказали, имя шела зависит от окружающих его файлов. Пример:
admin_module1.Php//файл был
admin_module2.Php// файл был
admin_module3.Php //мой шел
про сигнатуры:
от поиска по сигнатурам спасет eval+base64
если комуто влом переводить код шела в басе64 ите,то хотя бы сотрите тяг <title>r57/c99 shell</title> ,т.К. Палица поисковиками.

Пиздец тема, пиздец идея, и пиздец ответы Жв

ЗЫ Джок, удаляй тему или прийдётся флудить(

Пиздец тема, пиздец идея, и пиздец ответы Жв

ЗЫ Джок, удаляй тему или прийдётся флудить(
Я как-бэ за второй вариант.

Чем тебе не нравится тема? Щас все хакеры расскажут про свои шеллы, а потом ТС напишет мегосуперпуперпарсер и похенкает весь интырнет!

Мне кажется, идея отличная.

PS Кстати, я знаю как называет свои шеллы Spyder , но это прЭватная информация...

Я называю shell.php, а вы?

itsmyshelldonottouch itplease!!!!!!.php

да все называют shell.php, просто решили повыебываться
иногда c99.php или dx.php

it's my, ты будешь взламывать сайты нопремер разные?

хотя бы сотрите тяг <title>r57/c99 shell</title> ,т.К. Палица поисковиками.

Кстати, сеошникам на заметку. Просто добавляйте на свои доры теги <title>r57/c99 shell</title> , и экономьте на прогонах, хрумерах и пиаристых мордах, поисковики дуром слетаются

Кстати, сеошникам на заметку. Просто добавляйте на свои доры теги <title>r57/c99 shell</title> , и экономьте на прогонах, хрумерах и пиаристых мордах, поисковики дуром слетаются
спалил :(

PS Кстати, я знаю как называет свои шеллы Spyder , но это прЭватная информация...
наглая ложь! Моя зеленая кошка уже ест твой вискас

мой пепито ест твой педигри, %username%

c99madshell.php
madshell.php
root_Of_server.php
r00t.php

:)

наберите в гугле:

inurl:?act=ftpquickbrute

например сразу на 2-ой странице:

http://www.porteirinha.mg.gov.br/acesso.php?act=ftpquickbrute&d=%2Fhome%2Fporteirinha%2Fwww%2F

gov, не хрен собачий:)

PS: А напишите парсер такого запроса, толку будет больше, имхо. Хотя нафига - непонятно. Знаний от этого больше не станет.

-----------------------------------------------------

http://www.djmitchnmatch.com/index2.php?act=ftpquickbrute&d=%2Fhome%2Fdjmitchn%2F

http://sudura-cemax.ro/Site/logs_6.09.07.php?act=ftpquickbrute&d=%2Fhome%2Fsudurace%2Fpublic_html%2FSite%2F

http://www.porteirinha.mg.gov.br/acesso.php?act=ftpquickbrute&d=%2Fhome%2Fporteirinha%2Fwww%2Fcss%2F - еще ГАВ:)

------------

дальше уже ломает:)

N3tShell v. Emp3ror\ safe-mode perms intitle:- N3t

o---[ SnIpEr_SA Shell | http://3asfh.net | intitle:SnIpEr_SA shell

C2007Shell v. 1.0 pre-release build #16\ :: Command execute ::

[ Enumerate ][ Files ][ Domains ][ MySQL ][ Encoder ][ Sec. Info ][ Cracker ][ Bypassers ][ Tools ][ Databases ][ Backdoor Host ][ Back Connect ][ Spread Shell ][ Kill Shell ]

--[ c99shell modded by w4ck1ng. | w4ck1ng-shell intitle:\"shell@\"

Home Back Forward UPDIR Refresh Search Buffer Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove

Халявщикам шеллов в подарок )

admincfg.php
А вообще смысла темы не вижу ибо я их всегда называю по разному...Остальные думаю делают не иначе=)

про сигнатуры:
от поиска по сигнатурам спасет eval+base64
если комуто влом переводить код шела в басе64 ите,то хотя бы сотрите тяг <title>r57/c99 shell</title> ,т.К. Палица поисковиками.
Да ладно, то есть
eval(gzinflate(base64_decode(
eval(base64_decode(
нельзя использовать как сигнатуры?

Да ладно, то есть
eval(gzinflate(base64_decode(
eval(base64_decode(
нельзя использовать как сигнатуры?
можно,но измени ты чуть и все.Например:eval(file_get_contents или как было в одной статье на античате, через регулярку с модификатором.

Ну а мы сделаем поиск base64-подобных строк, поиск строк вида \x20, поиск строк по типу chr(). chr(), и подобного (с последующим декодом и поиском сигнатур), либо chroot с запуском скрипта и поиском сигнатур в выдаче

Вы будете учить меня как скрывать шелы?
Тада давайте составим фак как скрывать веб шелы.

эх, джо почисти тему =/
да зачем мне ваши шелы и прочее? Я собираю базу для сканера дир/файлов, просто малоли какой-нить горе хакер залил шелл на то что я буду например сканить.
Как сканер будет готов выложу на ачате. Так что база для этого, а поиск по сигнатуре на серваке не привлекает, т.к. если есть рут нахрен мне шеллы? Если есть просто шелл и не получить рут, то в большинства случаев прав не хватит на что-то другое :(
И да слип я уже давно хекед оф то плэнет

Вы будете учить меня как скрывать шелы?
Тада давайте составим фак как скрывать веб шелы.
А расскажи ещё что нибудь кроме хакерского "eval(base64_encode".. А то я в лоа и всё равно ничего не знаю

Итсмай, ты бы лучше конкурс забадяжил - все тебе в приват шлют имена своих шеллов, а ты, в свою очередь, выбираешь самый екстравагантный и платишь победителю 10$ в качестве вознаграждения. я бы даже проспонсировал, если базой поделишся :)

Итсмай, ты бы лучше конкурс забадяжил - все тебе в приват шлют имена своих шеллов, а ты, в свою очередь, выбираешь самый екстравагантный и платишь победителю 10$ в качестве вознаграждения. я бы даже проспонсировал, если базой поделишся :) Вот только от таких имён ему толку - ноль, т.к. экстравагантных имён я 1000 и 1 штуку придумать могу, но имеет ли смысл на них сканить?

Вот только от таких имён ему толку - ноль, т.к. экстравагантных имён я 1000 и 1 штуку придумать могу, но имеет ли смысл на них сканить?
Собственно ответ на твой вопрос скрыт в названии темы этого топика.

"имя файла твоего шелла"
в общем, тема тянет на гениальную :)

Чем вам не нравится вариант с регуляркой?
Да,тема не про это...
Имхо, такой способ защиты бредовый. Есть системы которые сравнивают мд5 файлов итд,слышал о таких?

Чем вам не нравится вариант с регуляркой?
Да,тема не про это...
Имхо, такой способ защиты бредовый. Есть системы которые сравнивают мд5 файлов итд,слышал о таких?
блять (прости меня господи) ты понимаешь о чем ты говоришь? какой нахрен мд5? ну чо ты сравнишь? поставишь пасс на шелл и всё! И ВСЁ! МД5 уже другой, хоть на один байт измени файл и ВСЁ ДРУГОЙ МД5!
Забань себя из этой темы пожалуйста :mad:

Ты не понял. Ты хочешь сделать систему обнаружения шелов. Так?
Ты выбрал метод поиска по имени файла так?
Есть другие способы обнаружения шелов. Они намного мощьнее.

Прочитай пожалуйста это 100 раз, а лучше 1000: http://forum.antichat.ru/showpost.php?p=1508369&postcount=46
Сканер удаленный а не локальный.

И шелл проще инклюдить тогда его никто не выкупит если правильно все сделать. НИКТО его не найдет, ни одна твоя система

времена меняются, хёрши остается... (с) реклама олдскульная, кто помнит?))

тему начали, посрали посрали и заааааасрали...да не забыли еще и про посраться друг с другом )))) стандартный набор..
--------------------------------------------------------------------------------------------
имена моих шеллов - img.php,install.php,licenses.php,lndex.php

configoptions.php :)

it's my, да ты не нервничай, кристалл просто ко всему подходит глобально. Он вот уже писал определитель сервера онлайн (По 7!!!111 разным параметрам) првда это секретная разработка и кода мы так и не увидели, потом хотел написать "Автошеллер", жалко тему быстро убили. Попробуйте написать что-то вместе, должно получиться невероятно круто!!

И дабы не оффтопить, напишу свои названия шеллов

Kiss_My_Ass.php
Suck_My_Fuckin_Big_Balls.php
admin_fuck_you.php
Big_Pussy.phtml (Этот ваще мегопреватный, ну ты понял по расширению)

Но можешь с ними не заморачиваться, т.к. я всегда их добавляю в карту сайта, что-бы не париться.

И шелл проще инклюдить тогда его никто не выкупит если правильно все сделать. НИКТО его не найдет, ни одна твоя система
Прямо в точку. Особенно когда удалённо запрещёно. Например можно из tmp/ А там соответственно создать файл its_my_including_shell

===================================
По теме.

ТС ты вроде уже не маленький и должен понимать, что шеллы нормальных людей ты так никогда не найдёшь, а искать шеллы оленей, ну какой в этом смысл?
Что можно поднять с ресурса на котором валяется шелл с таким расчудесным названием? Или это как слип сказал:
it's my, ты будешь взламывать сайты нопремер разные?
Какой смысл в таких шеллах и вообще в их поиске?
Даже при нахождении этого чуда (что конечно может случиться), у тебя 2 варианта:
1 Шелл имеет такое название, потому-что с этого сайта взять не чего
2 Шелл имеет такое название, потому что его залил какой-то пионер, и наверное тебе, как такому знатному хакеру, будет не сложно повторить его подвиг.

Так зачем-же срать в логах?

Вообще ресурсы с такими названиями шеллов очень легко находятся в списках массовых дефейсов туркохакеров и прочих автодефейсеров. (По крайней мере на незапароленые шеллы со стандартными именами они точно сканят)

да захотел человек написать тулзу- пусть пишет, чо вы негодуете-то? :(
ведь на самом деле каждому из отписавшихся здесь- глубоко по*уй...

"имя файла твоего шелла"

сканер удаленный
Итс май вас разводит. Сейчас вы ему имена ваших шеллов скажите, а потом он просканит интернет и ваши же шеллы уведёт :eek:

не пали!

Маскируюсь под контент. Так логичнее всего делать. А так иногда называю "config.php".

хы... добавил даже самые глупые варианты, допустим например варианты джо

php.php
bI.php
lol.php
image.php

Когда ждать твое творение?

php.php
bI.php
lol.php
image.php

Когда ждать твое творение?
когда ты не сможешь зайти в свои шеллы ).

когда ты не сможешь зайти в свои шеллы ).
Спорим с такими названиями админ их спалит раньше, чем их найдет иц май?))