Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
11.06.2009, 11:33
|
|
Постоянный
Регистрация: 06.02.2008
Сообщений: 494
Провел на форуме:
1754802
Репутация:
380
|
|
Попробуй вынести код шелла за пределы веб диры, или например в БД ну а в каком ни будь малозаметном оригинальном файл внеси в начали include c exit c срабатыванием например по браузеру, кукисам и etc, у меня была схожая фигня именно так я и поступил к моему счастью там не было чексуммов и etc, просто сносились все новые файлы и каталоги раз в полчаса.
|
|
|
11.06.2009, 14:28
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
Такое поведение напоминает работу антивируса, который определяет по сигнатуре твой шелл. Проблему может решить какой-нибудь пока что мало известный веб-шелл, например WSO2 (кстати к тому же очень удобный, рекомендую). В похожей ситуации шифрованные с помощью base64 и сжатые gzip'ом шеллы удалялись буквально через 30 секунд.
|
|
|
|
11.06.2009, 17:05
|
|
Новичок
Регистрация: 04.01.2008
Сообщений: 21
Провел на форуме:
22522
Репутация:
0
|
|
Сообщение от [Raz0r]
Такое поведение напоминает работу антивируса, который определяет по сигнатуре твой шелл. Проблему может решить какой-нибудь пока что мало известный веб-шелл, например WSO2 (кстати к тому же очень удобный, рекомендую). В похожей ситуации шифрованные с помощью base64 и сжатые gzip'ом шеллы удалялись буквально через 30 секунд.
+1 , на линухах тоже антивири бывают, если там р57 какой-нибудь, то любой антивирь его найдет, иногда вообще бывает заливаешь Р57 - сразу Forbidden, заливаешь непаленый - все нормально
|
|
|
|
11.06.2009, 18:16
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Думаете антивирус?
c99madshell тоже палят? Он же несколько раз гзипованный...
Другие пока не пробовал - но попробую - сообщу..
Вот кстати ps -aux с серва. Посмотрите, пожалуйста, кто разбирается, есть что нибудь похожее на антивирь?
http://rapidshare.com/files/243372824/lsbkypsaux.txt
http://slil.ru/27750160
|
|
|
|
11.06.2009, 18:38
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Вот скрипт, с помощью которого в секунду можно вычислить появление нового файла (у меня 146 344 файла, 64 мб оперативки, скрипт работал секунду или меньше).
Состоит из двух частей, сначала запускаем первую часть:
1. Создаёт образ (эталон) всех файлов на диске:
PHP код:
<?php
@set_time_limit(0);
@ini_set("display_errors","1");
$path = '/home/www/lalala/http'; // Абсолютный путь к корню, без слеша в конце
//Функция рекурсивного получения списка файлов и папок
function fold($rootDir, $allData=array()) {
$invisibleFileNames = array(".", "..");
$dirContent = scandir($rootDir);
foreach($dirContent as $key => $content) {
$path = $rootDir.'/'.$content;
if(!in_array($content, $invisibleFileNames)) {
if(is_file($path) && is_readable($path)) {
$allData[] = $path;//Файлы
}elseif(is_dir($path) && is_readable($path)) {
$allData = fold($path, $allData);
}
}
}
return $allData;
}
$a = fold($path);
$count = count($a);
$b = implode("\r\n",$a);
$c = fopen("etalon.txt","w");
fwrite ($c,$b);
fclose($c);
echo "Base of files updated, there are $count files in base";
?>
2. Чекает появление/удаление (относительно эталона) файлов:
PHP код:
<pre>
<?php
@set_time_limit(0);
@ini_set("display_errors","1");
$path = '/home/www/lalala/http'; // Абсолютный путь к корню, без слеша в конце
//Функция рекурсивного получения списка файлов и папок
function fold($rootDir, $allData=array()) {
$invisibleFileNames = array(".", "..");
$dirContent = scandir($rootDir);
foreach($dirContent as $key => $content) {
$path = $rootDir.'/'.$content;
if(!in_array($content, $invisibleFileNames)) {
if(is_file($path) && is_readable($path)) {
$allData[] = $path;//Файлы
}elseif(is_dir($path) && is_readable($path)) {
$allData = fold($path, $allData);
}
}
}
return $allData;
}
$a = fold($path);
$count = count($a);
$h= fopen("etalon.txt","r");
while (!feof($h)) $c[]=trim(fgets($h));
fclose($h);
$count1 = count($c);
$diff = $count - $count1;
if ($diff>=0) $result = array_diff($a, $c);
else $result = array_diff($c, $a);
sort ($result);
$count2 = count($result);
if ($diff>=0 && $count2!=0) {
echo "Etalon base - $count1 files, Current base - $count files, difference is $diff files, new files below:\r\n\n\n";
if ($count2!=0) {
for($i=0;$i<$count2;$i++) {
echo "File - {$result[$i]}, FileDate - ".date("d.m.Y H:i", fileatime($result[$i])). " , FileSize - " . round(filesize($result[$i])/1024,2) . "Kb\r\n";
}
}
}
if ($diff<0) {
echo "Etalon base - $count1 files, Current base - $count files, difference is $diff files, deleted files below:\r\n\n\n";
if ($count2!=0) {
for($i=0;$i<$count2;$i++) {
echo "File - {$result[$i]} was deleted\r\n";
}
}
}
if ($count2==0) echo "Etalon base - $count1 files, Current base - $count files, difference is $diff files, no changes\r\n\n\n";
?>
</pre>
если etalon.txt хранить не на серве, то будет трудновато залить полноценный шелл, не меняя содержимого уже существующих файлов
Последний раз редактировалось Pashkela; 11.06.2009 в 18:41..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Raz0r]](/avatars/avatar33548.gif){kind=avatar}
![Отправить сообщение для [Raz0r] с помощью ICQ](fusion/misc/im_icq.gif)
Похожие темы
Линейный вид
