ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Избранное
Перезагрузить страницу AntiBdoor
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

AntiBdoor
  #1  
Старый 19.12.2009, 16:47
Аватар для Dimi4
Dimi4
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458

Репутация: 3965


Отправить сообщение для Dimi4 с помощью ICQ
По умолчанию AntiBdoor
AntiBdoor


@author Dimi4 [UASC]
@copyright 2009
@version 1.0 B


Скрипт для мониторинга ваших файлов. Разделы админки:
  • Get detected alerts - Получить из базы список модифицированых файлов.
  • Check files - Проверить на наличие модификаций
  • Crawl - Наново проиндексировать все файлы
  • Search Shells - Осуществить поиск шеллов (по имени и фиксированному размеру)
  • Options - Опции

После установки (необходимо PHP+MYSQL) рекомендуется засунуть в кронтаб файл cron.php на выполнение каждые 15 минут. Результат проверки будет оправлен на мыло, указанное при установке.

Это только Бетка, так что все будет дорабатываться, пополнятся функционал.

Сриншоты:
install

auth


Inside - http://img692.imageshack.us/i/insidev.jpg/

Скачать - http://uasc.org.ua/files/antibdoor.rar
 
Ответить с цитированием

  #2  
Старый 19.12.2009, 17:19
Аватар для (Dm)
(Dm)
Reservists Of Antichat - Level 6
Регистрация: 08.04.2008
Сообщений: 286
Провел на форуме:
2375131

Репутация: 1695
По умолчанию
хз, по мне так, bash, md5sum, diff
__________________
Cервер cs 1.6
cs.antichat.net:27015
 
Ответить с цитированием

  #3  
Старый 19.12.2009, 17:48
Аватар для b3
b3
Постоянный
Регистрация: 05.12.2004
Сообщений: 647
Провел на форуме:
1698585

Репутация: 818


Отправить сообщение для b3 с помощью ICQ
По умолчанию
Реализация поиска шеллов не понравилась =) На днях столкнулся с проблемой, мой шелл удаляли на одном серваке чуть не каждый день, в итоге фартануло и нашел сканер файлов который ищет функции exec, system, eval, iframe и тд. так что думаю по етой аналогии и стоит делать систему, в добавок подобный скрипт нужно держать не в ДОКУМЕНТ_РУТ, сделать алиасом, держать под .htpasswd и под правами отличными от www юзвера. Можно даже добавить функцию "Точек восстановления" тоесть сканер видит измененный файл, и заменяет его безопасной копией.
 
Ответить с цитированием

  #4  
Старый 19.12.2009, 17:54
Аватар для Dimi4
Dimi4
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458

Репутация: 3965


Отправить сообщение для Dimi4 с помощью ICQ
По умолчанию
Конечно реализация для поиска шеллов тупая, но я говорю что это бетка. Добавлю функции поиска по содержимому и тд. Над точками восстановления можно подумать
 
Ответить с цитированием

  #5  
Старый 19.12.2009, 18:09
Аватар для Ctacok
Ctacok
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696

Репутация: 2221


По умолчанию
Цитата:
Search Shells - Осуществить поиск шеллов (по имени и фиксированному размеру)
Например в скриптах шелла можно изменить пароль, изменяешь > уже не соответствие размера А если например eval(base64_decode()) ?) Тогда точно ненайдёшь
 
Ответить с цитированием

  #6  
Старый 19.12.2009, 18:15
Аватар для Dimi4
Dimi4
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458

Репутация: 3965


Отправить сообщение для Dimi4 с помощью ICQ
По умолчанию
Цитата:
Например в скриптах шелла можно изменить пароль, изменяешь > уже не соответствие размера
Ну там же не до байта проверка, а округлено
 
Ответить с цитированием

  #7  
Старый 19.12.2009, 18:21
Аватар для b3
b3
Постоянный
Регистрация: 05.12.2004
Сообщений: 647
Провел на форуме:
1698585

Репутация: 818


Отправить сообщение для b3 с помощью ICQ
По умолчанию
К тому же пароль в мд5 =) всегда 32 символа
 
Ответить с цитированием

  #8  
Старый 19.12.2009, 18:23
Аватар для Dimi4
Dimi4
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458

Репутация: 3965


Отправить сообщение для Dimi4 с помощью ICQ
По умолчанию
Приду через 3 часа потестю)
Кстате планирую добавить исключения, правила.
 
Ответить с цитированием

  #9  
Старый 19.12.2009, 18:29
Аватар для Spyder
Spyder
Members of Antichat - Level 5
Регистрация: 09.10.2006
Сообщений: 1,698
Провел на форуме:
9098076

Репутация: 4303


По умолчанию
Цитата:
нашел сканер файлов который ищет функции exec, system, eval, iframe и тд. так что думаю по етой аналогии и стоит делать систему
ну конечно) А если шелл закодирован в base64 или гзипом? Что ты будешь искать? Поиск по размеру очень хорошая идея, хотя конечно другие алгоритмы поиска добавить не помешает
 
Ответить с цитированием

  #10  
Старый 19.12.2009, 18:35
Аватар для Qwazar
Qwazar
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912

Репутация: 4693


По умолчанию
Да есть туча вполне мирных функций, которые можно использовать в качестве полноценного бекдора. Если все их искать, получим тучу ложных срабатываний.

Хотя в любом случае подобный скрипт только полумера, лучше так чем ничего. Хотя бы от киддисов поможет.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ