Скрипт поиска вредоносного ПО на хостинге
Написал небольшой скрипт, который позволяет искать шеллы по сигнатурам (более 40), а также дорвеи, несанкционированные редиректы через .htaccess, код продажи ссылок sape/trustlink/******** (возможно, не ваш) , отображает список каталогов, открытых на запись и всякую другую полезную мелочевку.
Пользуюсь сам для вычищения зла с сайтов клиентов и своих собственных. Скрипт постоянно обновляется. Велкам! Скачать со страницы: http://revisium.com/ai/ Если скрипт понравится, буду благодарен, если вы расскажете о скрипте знакомым или друзьям. Спасибо. З.Ы. Если найдутся шеллы или дорвеи, которые не определились скриптом, пожалуйста, пришлите их. Я добавлю в базу. Конструктивная критика всячески приветствуется. Внимание, важное объявление. Многие пользователи скрипта AI-BOLIT совершают глупости, делая свой сайт (сервер) еще более уязвимым. Поэтому я перечисляю, что не просто не желательно, а запрещено делать по соображениям безопасности: 1. Запрещено давать ссылку на файл отчета кому бы то ни было. Особенная глупость - ставить ссылку с форума на свой файл отчета со словами "посмотрите что тут у меня" или ссылку на скрипт. Ваш отчет (кроме того, что просмотрят все хакеры) проиндексируется поисковиками и теперь весь рунет или даже мир узнает, какая версия сms у вас на хостинге, какие настройки php, какие файлы и в каких каталогах лежат, где открытые на запись директории и т.п. Это Information Leakage (утечка важной информации). То есть вы тем самым добровольно предоставляете всю необходимую для взлома информацию злоумышленникам. Подумайте над этим прежде чем выкладывать отчет или ссылку на него в паблик. 2. Запрещено оставлять скрипт и файл отчета на сайте. Если хотите запустить регулярную проверку скрипта - делайте это разумно. Кладите скрипт в каталог, вне сайта (например, на уровень выше) и запускайте по cron. Не нужно хранить его в корневом каталоге сайта. 3. Запрещено ставить простой пароль в файле ai-bolit.php Пароль должен быть длинным, состоять из заглавных и малых букв, цифр и спецсимволов, чтобы не сбрутили. Если у вас пароль "1" или "123", считайте вы дали ссылку на файл отчета всем желающим. --- Если у вас есть знакомые, кто пользуются скриптом AI-BOLIT, пожалуйста, доведите данную информацию до их сведения. Спасибо за внимание |
Спасибо за скрипт.
Предлагаю добавить в отчет "Скрипт использует код, которые часто используются во вредоносных скриптах" найденную сигнатуру, чтобы можно было бегло оценить степень опасности без просмотра кода модуля. Также не помешала бы shell версия для непосредственного запуска с сервера - сканирование может продолжаться дольше максимально разрешенного времени. |
Да, версия для запуска из консоли в планах.
Спасибо |
Я так понял, нужно залить скрипт корень сайта и набрать в браузере http://site.ru/ai-bolit.php ?
У меня сначала страница не грузится, а потом просто пустая. Добавлено через 14 минут На одном хостинге запустилось, на втором - нет. |
Цитата:
Добавлено через 12 часов 59 минут Скрипт в полный рост обсуждается на searchengines.ru http://forum.searchengines.ru/showthread.php?p=10263575 |
|
Очень удобный скрипт, а не планируется ли выпуск данного скрипта в качестве приложения?
|
Новая версия 20120422:
- добавлен режим работы из командной строки "php ai-bolit.php --help" (можно на email отсылать репорт) - при запуске из командной строки: сохранение отчета в файл или отправка его по email, прогресс выполнения - красивый размер файлов - затраченное время на сканирование - ограничение на сканирование файлов меньше указанного размера (по-умолчанию, < 10 Mb) - новые сигнатуры JS Качать здесь: http://revisium.com/ai/ Добавлено через 35 секунд Цитата:
|
Спасибо. Только на днях в вебмастере появилось сообщение о дорвее на моем старом сайте. Сам его найти не смог :( Попробую.
|
- добавлен алгоритм дешифрования ASCII последовательностей перед проверкой сигнатур - это очень серьезный прорыв. Теперь кол-во детектируемого зла вырастет в разы.
- три новых сигнатуры JS вируса - три сигнатуры шелла - добавлена проверка .phtml и .shtml по-умолчанию - исправлена ошибка отображения файлов с невидимыми ссылками Рекомендую скачать и проверить ваши сайты. http://revisium.com/ai/ |
Часовой пояс GMT +3, время: 18:11. |
Работает на vBulletin® версия 3.8.7.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot
SAPE.RU — система купли-продажи ссылок с главных и внутренних страниц сайтов.