Выручайте... Есть проект (~50 мб скриптов) был залит шелл я его нашел (по логам) и удалил прикрыв багу через которую он был залит. Но он появляется снова и снова =(
Значит где то есть еще шелл. Подскажите способы его нахождения... (в логах которые ведутся он не палится. Скрипты написанные не мной, да и в пыхе я слаб)

gold-goblin find /путь/до/проекта -ctime -2 Где 2 - это количество дней с обнаружения. Это покажет все измененные файлы, а дальше уже их просматривать

=) уже пытался... Дата создания и изменения меняется легко.....
какие строки характерны для шелов? (к примеру системные вызовы и тд?

Pashkela
что-то не нравится пройди пожалуйста мимо... Я попросил помощи и надеюсь что мне помогут.

gold-goblin ctime изменить на более раннее число - не получится, это всегда будет дата последнего изменения файла/атрибутов файла

gold-goblin ctime изменить на более раннее число - не получится, это всегда будет дата последнего изменения файла/атрибутов файла
как так? о_О на винде (а серв виндовый реально)

думаю...
- маленький шелл залит к какой то файл сайта, или картинку!
- проверь может есть изменения в .htaccess
- посмотри в /tmp

Скачай все файлы сайта себе на винт потом проверь всех их корректное использование $_GET,$_POST...
Для этого можеш юзать Notepad++ там есть поиск/замена по всех в ньом открытых документах.

Notepad++ _http://notepad-plus.sourceforge.net/ru/download.php

Скачай все файлы сайта себе на винт потом проверь всех их $_GET,$_POST...
Искать эти строки?

сними может сидеть шелл-код, на пример формата:
system($_GET['cmd']);
passthru($_GET['cmd']);

Кстати можно права лучше выстроить, или ловить по кусочкам.
Тоисть ставить на одну папку права, потом проверить логи, если есть опять шелл, идьом к следующий директории, ставим права опять и так дале... может так получица выловить!

Кстати можно права лучше выстроить, или ловить по кусочкам.
Тоисть ставить на одну папку права, потом проверить логи, если есть опять шелл, идьом к следующий директории, ставим права опять и так дале... может так получица выловить!

весь движок в 1 папке....

Скорее всего шелл просто зашифрован.
Как говорил Gifts смотри логи, изменения файлов и их вызов.
и удалил прикрыв багу через которую он был залит. Но он появляется снова и снова =(
Возможно просто прописали код, который по требованию будет создавать шелл.
Отследи с какого IP использовался шелл и в логах отследи к каким он обращался файлам.
А вообще я всегда делаю проверку по md5

тс. выкладывай двиг сюда)

eval, system, passthru, base64_encode, gzinflate, shell_exec, exec, инклуды и тд и тп
может быть что угодно, от банального fopen или copy шелла с другого серва, до внедрения где-нибудь preg_replace с /e ...

тс. выкладывай двиг сюда)
Двиг составляет корпоративную тайну =)

Всем спасибо шелл нашел. Причем вычислил его из-за изменения питон скрипта который вел логи =)