Поиск шелла. Как?
 

Выручайте... Есть проект (~50 мб скриптов) был залит шелл я его нашел (по логам) и удалил прикрыв багу через которую он был залит. Но он появляется снова и снова =(
Значит где то есть еще шелл. Подскажите способы его нахождения... (в логах которые ведутся он не палится. Скрипты написанные не мной, да и в пыхе я слаб)

gold-goblin find /путь/до/проекта -ctime -2 Где 2 - это количество дней с обнаружения. Это покажет все измененные файлы, а дальше уже их просматривать

=) уже пытался... Дата создания и изменения меняется легко.....
какие строки характерны для шелов? (к примеру системные вызовы и тд?

что-то не нравится пройди пожалуйста мимо... Я попросил помощи и надеюсь что мне помогут.

gold-goblin ctime изменить на более раннее число - не получится, это всегда будет дата последнего изменения файла/атрибутов файла

как так? о_О на винде (а серв виндовый реально)

думаю...
- маленький шелл залит к какой то файл сайта, или картинку!
- проверь может есть изменения в .htaccess
- посмотри в /tmp

Скачай все файлы сайта себе на винт потом проверь всех их корректное использование $_GET,$_POST...
Для этого можеш юзать Notepad++ там есть поиск/замена по всех в ньом открытых документах.

Notepad++ _http://notepad-plus.sourceforge.net/ru/download.php

Искать эти строки?

сними может сидеть шелл-код, на пример формата:
Кстати можно права лучше выстроить, или ловить по кусочкам.
Тоисть ставить на одну папку права, потом проверить логи, если есть опять шелл, идьом к следующий директории, ставим права опять и так дале... может так получица выловить!

весь движок в 1 папке....