Найти шелл
 

Доброго времени суток.
У меня такая проблема:
Есть один портал, через уязвимость в движке мне залили shell какой незнаю может r57 может ещё что, я незнаю куда залили, как мне можно его найти ?
Пытался найти тупо ищя странные фалы, не помогло так как файлов очень много.
Спасибо за ответ.

антивирусом пройдись если это р57 =\

Возможно у тебя никакой ни шелл, а инклюда что даже скорее всего

Логи апача глянь. Неужеле заливка нигде не засветиться? Потом просмотри диры, доступные на запись и диры аплода по дефалту. Шелл отличаеться больштм размером. От 40 и до 200 кб.

Нет не инклуда, потому что чувак может очень быстро управлять и редактировать файлы в директориях что можно сделать только через веб интерфейс.

Залит сам шелл был давно ещё пол года назад, сейчас им снова начали пользоваться.

Если есть возможность скачать себе исходники всего портала,
то можно поискать в файлах такие подстроки: system, passthru и т.д.

чтоб найти шелл - ищи файлы с последними изменениями, а такжи пройдишь по логам