Доброго времени суток.
У меня такая проблема:
Есть один портал, через уязвимость в движке мне залили shell какой незнаю может r57 может ещё что, я незнаю куда залили, как мне можно его найти ?
Пытался найти тупо ищя странные фалы, не помогло так как файлов очень много.
Спасибо за ответ.

антивирусом пройдись если это р57 =\

Возможно у тебя никакой ни шелл, а инклюда что даже скорее всего

Логи апача глянь. Неужеле заливка нигде не засветиться? Потом просмотри диры, доступные на запись и диры аплода по дефалту. Шелл отличаеться больштм размером. От 40 и до 200 кб.

Возможно у тебя никакой ни шелл, а инклюда что даже скорее всего
Нет не инклуда, потому что чувак может очень быстро управлять и редактировать файлы в директориях что можно сделать только через веб интерфейс.

Логи апача глянь. Неужеле заливка нигде не засветиться? Потом просмотри диры, доступные на запись и диры аплода по дефалту. Шелл отличаеться больштм размером. От 40 и до 200 кб.
Залит сам шелл был давно ещё пол года назад, сейчас им снова начали пользоваться.

Если есть возможность скачать себе исходники всего портала,
то можно поискать в файлах такие подстроки: system, passthru и т.д.

чтоб найти шелл - ищи файлы с последними изменениями, а такжи пройдишь по логам