![]() |
как найти шелл на сайте
Вообщем суть такова: например у меня залит шелл, как с помощью его найти все другие шеллы на этом сайте если они там есть?
|
если ты зальешь шелл, то у тебя будет доступ к списку файлов(если safe mode=off) и ты сможешь читать файлы. шелы вида r57 c99,... узнать легко, открыв исходник файла, а если шел вида <? system($_GET['komanda']); ?> то эта строчка запмсывается в начале какого-нибудь файла, или в середине запрятана) ,читай файлы и смотри,ищи подозительные строчки.)
|
ога или может быть base64_decode
|
Если хост норм - там присутствует access.log. Смотри где есть много POST/GET запросов на один подозрительный файл.
|
Смотри на дату правки файла,если touch не прошлись.
|
есть замечательная команда find, вот с помощью нее и ищи в файлах что тебе нужно.
|
Цитата:
|
и что? какие проблемы? к примеру пакованые шеллы:
Цитата:
|
гугл рулит!
site:адрес сайта intitle:shell (или r57shell) filetype:php |
Цитата:
|
grep -R "Шаблон" путь
тоже самое и с base64 P.s. работает только в юниховоподобных системах. |
Посмотрел бы я на тебя, когда ты будешь искать в многосотмегобайтном access_log БОЛЬШОЕ количество post\get запросов к .php файлу =))
ps: не говоря уже о том,что расширение может быть совсем не .php |
да да да
PHP код:
всё это бред, обычные не пакованые шеллы ищутся find`ом, а другие только ручками |
$n@ke, сначалa отсеять ненужное... ЗЫ: я так у себя нашел шелл =)
|
мое дело предложить, подсказать, а не навязывать свои способы...
удачного поиска. Надеюсь вы не мои шеллы ищите)))))) |
Как-то неэтично все-таки искать шеллы коллег) А нашел - не трогай, имхо.
|
грепом
|
find по признакам
|
Даёшь проверку в непалящихся дирах пхп/пл/асп скриптов)),если *нету* шелла ).А так пропарсить скрипты на passthru,всякие там exec и system)Всё равно редко попадаются
|
хз, у меня на кроне каждые 12 часов запускаеца скрипт который собирает даты последнего изменения, вес,имя и колво файлов,сверяеться с прошлой версией,если чтото нетак - бот стучит в асику.+ все данные пишуться в мускул.хостер мне запретил запускать скрипт каждый час,сволоч, поэтому только через половину суток у меня идет чек.
Советую поставить чтоо похожее, видел викидывали давно еще в разделе чтото вроде такого. |
нормальный шелл вы никогда не найдете. И дело тут даже не в привате, а просто в варианте оставления бекдора:)
|
Цитата:
|
Цитата:
|
Цитата:
|
мона написать скрипт котрый будет хранить мд5 важных файлов -напирмер мд5 от индекс.пхп и проверяет раз в сутки напирмер изменилось ли значение. если да то тревога!! можно весь сайт так запомнить (мд5) и проверять.
|
Цитата:
|
А можно ли изменить как-то мд5 хеш файла на прежний,предварительно изменив содержимое файла ?) Не хочу врать,но где-то писали про бреш в линуксе или фряхе)
|
Цитата:
ЗЫ: Мде...хреного млин( |
Цитата:
По поводу анализа журналов, никто уже давно не занимается парсингом в ручную, за исключением частных случаев, существуют связки ПО которые с этим прекрасно справляются, kiwi syslog, facilities у syslog, syslog-ng, а так же стандартные системы журналирования у демонов. Все это прекрасно справляется с фильтрацией под определенные критерии, не стоит выжимать проблему из пальца. |
| Время: 10:39 |