евалом палится куча мирных скриптов, как и прег_реплейс с /е, такой поиск выдаст кучу ложных срабатываний. Оно надо?
а ты сам то часто трешь коменты чтобы изменить размер?

__________________
God forgive me for I have sinned
It’s been six months since my last confession
There is nowhere that I can run to
My soul I place in your hands

Насчет коментариев, допустим ситуация такая что я каким-то образом знаю что проверка осуществляется по размеру =) Это все конечно теоретически.
Все же если делать, так делать на совесть =)

не забываем тот факт, что многие веб приложения используют кеширование, а это значит создаются временные файлы.

__________________
Cервер cs 1.6
cs.antichat.net:27015

Чисто теоретически любую защиту можно обойти. Вопрос времени. Но это не значит что защиты не надо.

>>Кстате планирую добавить исключения, правила.

__________________

• Ukrainian Security Community – Блог спеціалістів з безпеки веб-додатків
• Security Audit

MoDL

Вот собственно мой простенький вариант на баше )
И так что умеет:
+ работает без использования БД
+ поиск изменений в файлах
+ отправка этого добра на указанный email
+ автоматическое восстановление файлов и удаление новых
+ возможность указать файлы(типы) которые не надо проверять

Прикрепил скрипт в архиве.

Как использовать:
1. для начала распаковать архив, например в домашнюю директорию пользователя /root/smonit
2. поправить файл config, установить нужные пути
3. добавить в nocheck.txt типы файлов которые не надо проверять
4. дальше перейти в директорию /root/smonit и выполнить команду ./create.sh . Эта команда создаст точку восстановления в каталоге /root/smonit/backup
5. затем следует добавить в cron
Все, готово. При изменении файлов, в зависимости от настроек, будет высылаться емаил, a файлы автоматически восстанавливаться.

Косяков конечно там много... ну эт просто наброски.
К чему это я, да к тому что не нужно изобретать велосипед. diff и patch

Вложения

smonit.zip (1.9 Кб, 23 просмотров)

__________________
Cервер cs 1.6
cs.antichat.net:27015

Делал когда-то такую штуку, как плагин к админке магазина.
банально.
делается md5 слепок всего нужного и записывается в базу либо в файл (на сервере не сохраняется, выдается на скачку).
потом сверяется со слепком.
что-то поменяли - сделали новый слепок и работаем дальше.
имхо, парсить код совсем не вариант.

Че-то спорите ниочем. Давайте все-таки различать 2 задачи:
1. Обнаружение бэкдоров с помощью поиска изменений в файлах, когда у нас есть слепок файлов и каталогов
2. Поиск бэкдоров когда никакого слепка нету.

Это 2 совершенно разные задачи и, на мой взгляд, для их решения стоило бы создать 2 разные тулзы. Первая задача решается, вобщем-то, легко, и мне уже немало реализаций для ее решения встречалось.

А вот поиск бекдоров без слепка - гораздо сложнее (и интересней (: ). Способов автоматизированного поиска можно придумать кучу, и поиск по опасным функциям - это лишь самый примитивный, хотя и действенный (пускай и с ложными срабатываниями) - по собственному опыту могу сказать, что 90% взломщиков не удосуживаются хоть немного обфусцировать код спрятанного шелла.

update. версия 1.1
http://uasc.org.ua/files/AntiBdoor_v1.1.rar

*Мелкие исправление
*Добавил Exceptions

В следующей версии: постараюсь реализовать новые методы поиска шеллов, функцию точек восстановления.

p.s. в паблек

__________________

• Ukrainian Security Community – Блог спеціалістів з безпеки веб-додатків
• Security Audit

MoDL