Форум SAPE.RU - Скрипт для "защиты" сайта от вирусов

Форум SAPE.RU (http://forum.sape.ru/index.php)

- Разработка и сопровождение сайтов (http://forum.sape.ru/forumdisplay.php?f=29)

- - Скрипт для "защиты" сайта от вирусов (http://forum.sape.ru/showthread.php?t=17932)

Буду ждать результатов :)
Вроде бы PHP скрипт достаточно простой...

удалить

Добавлено через 13 минут
НЕТ /index.php
NO
OK
OK
OK
OK
НЕТ /go.php
NO
OK
OK
OK
OK

/index.php
|01.01.70|
|15.09.08|
|15.09.08|
|15.09.08|
|15.09.08|
/go.php
|01.01.70|
|15.09.08|
|15.09.08|
|15.09.08|
|15.09.08|

Откуда берется |01.01.70|
Почему пишет НЕТ /**.php
И вообще что он проверяет я не пойму... скрипт расположден в папке /antiworm/
он проверяет корневой каталог?

можете скинуть пару примеров, зараженных участков кода.
Я вечером - ночью напишу скрипт ;)
Идея есть интересная )))
Просто у мну уже давно сайты не заражаются

Цитата:

Сообщение от shadx (Сообщение 239325)

можете скинуть пару примеров, зараженных участков кода.

Цитата:

Сообщение от Dima1151 (Сообщение 239299)

Откуда берется |01.01.70|
Почему пишет НЕТ /**.php
И вообще что он проверяет я не пойму... скрипт расположден в папке /antiworm/
он проверяет корневой каталог?

Давайте начнем с самого начала.
В папке /antiworm/ есть файл config.dat, который нужно открыть в Блокноте.
В файле вот такие пять строк:

Цитата:

/index.php|01.01.70|
/index.html|01.01.70|
/index.htm|01.01.70|
/index.xhtml|01.01.70|
(тут - пустая строка)

Это - база страниц, по которой скрипт будет проверять дату изменения этих самых страниц.
Пока в базу занесен просто шаблон - проверка нескольких возможных индексных файлов в корне. А так как синхронизация еще не проводилась и дата изменения ваших файлов не известна, то вместо нее записано |01.01.70| - первое января 70 года :)

Соответственно, чтобы скрипт начал проверять Ваши файлы, измените список на свой. Пример:

Цитата:

/index.php|01.01.70|
/admin/index.html|01.01.70|
/sape/******/index.php|01.01.70|
/antiworm/avto.php|01.01.70|
(тут - пустая строка)

После того, как нажмете на кнопочку синхронизации, вместо |01.01.70| в базу будет записана реальная дата изменения того или иного файла.
Соответственно, если файл вдруг изменится без вашего ведома - велика вероятность, что это сделал вирус.

Немного по сообщениям:
НЕТ - файла нет
OK - дата изменения совпадает с хранящейся в базе
NO - дата изменения файла не совпадает с базой.

Кнопка синхронизации служит для того, чтобы обновить даты в базе. Например, после того, как вы сами изменили какой-то файл.
Кнопки ON и OFF, думаю, интуитивно понятны.

D.iK.iJ
Спасибо, теперь всё работает :)

Добавлено через 6 минут
А проверка по времени файла нет? По дате файла не очень... время нужно... Вот проверка по md5 другое дело или crc32 ... да и каталоги бы проверял на появление новых файлов... можно?

Добавлено через 1 час 9 минут
Если какие то файлы из папки не прописаны нужно чтоб скрипт выдавал "неизввестный файл" и все файлы нужно проверять по md5... ща в этом скрипте толку очень мало Имхо...

Цитата:

Сообщение от Dima1151 (Сообщение 239562)

У скрипта совершенно другое предназначение. Он просто должен сообщить о вторжении и все.

Цитата:

Сообщение от slavs™ (Сообщение 239635)

У скрипта совершенно другое предназначение. Он просто должен сообщить о вторжении и все.

Действительно.
Когда пароли крали у меня, я в первую очередь жалел, что не сразу заметил приписку к коду в виде виря. (Хотя банально изменили только index.php.) И кто-то из зашедших на сайт пользователей мог подхватить на свой комп тот же вирус :(

А чтобы файл проверялся не только на дату, но и на время создания, думаю, нужно просто изменить:

$add=date("d.m.y",filemtime($_SERVER['DOCUMENT_ROOT']. "$dt[0]"));
$nastdate=date("d.m.y");

И подобные строки на то, что нужно именно вам ;)

PHP код:


		
			
if(filesize('file.php')!=$filesize)

{

    @copy('bpath/file-dist.php', 'file.php');

}