Форум SAPE.RU

Форум SAPE.RU (http://forum.sape.ru/index.php)
-   Софт для оптимизаторов и вебмастеров (http://forum.sape.ru/forumdisplay.php?f=36)
-   -   Скрипт поиска вредоносного ПО на хостинге (http://forum.sape.ru/showthread.php?t=80914)

mnemonic 09.04.2012 11:19

Скрипт поиска вредоносного ПО на хостинге
 
Написал небольшой скрипт, который позволяет искать шеллы по сигнатурам (более 40), а также дорвеи, несанкционированные редиректы через .htaccess, код продажи ссылок sape/trustlink/******** (возможно, не ваш) , отображает список каталогов, открытых на запись и всякую другую полезную мелочевку.

Пользуюсь сам для вычищения зла с сайтов клиентов и своих собственных. Скрипт постоянно обновляется. Велкам!

Скачать со страницы: http://revisium.com/ai/

Если скрипт понравится, буду благодарен, если вы расскажете о скрипте знакомым или друзьям.

Спасибо.

З.Ы.

Если найдутся шеллы или дорвеи, которые не определились скриптом, пожалуйста, пришлите их. Я добавлю в базу. Конструктивная критика всячески приветствуется.

Внимание, важное объявление.

Многие пользователи скрипта AI-BOLIT совершают глупости, делая свой сайт (сервер) еще более уязвимым. Поэтому я перечисляю, что не просто не желательно, а запрещено делать по соображениям безопасности:

1. Запрещено давать ссылку на файл отчета кому бы то ни было. Особенная глупость - ставить ссылку с форума на свой файл отчета со словами "посмотрите что тут у меня" или ссылку на скрипт.

Ваш отчет (кроме того, что просмотрят все хакеры) проиндексируется поисковиками и теперь весь рунет или даже мир узнает, какая версия сms у вас на хостинге, какие настройки php, какие файлы и в каких каталогах лежат, где открытые на запись директории и т.п. Это Information Leakage (утечка важной информации). То есть вы тем самым добровольно предоставляете всю необходимую для взлома информацию злоумышленникам.

Подумайте над этим прежде чем выкладывать отчет или ссылку на него в паблик.

2. Запрещено оставлять скрипт и файл отчета на сайте.

Если хотите запустить регулярную проверку скрипта - делайте это разумно. Кладите скрипт в каталог, вне сайта (например, на уровень выше) и запускайте по cron. Не нужно хранить его в корневом каталоге сайта.

3. Запрещено ставить простой пароль в файле ai-bolit.php

Пароль должен быть длинным, состоять из заглавных и малых букв, цифр и спецсимволов, чтобы не сбрутили. Если у вас пароль "1" или "123", считайте вы дали ссылку на файл отчета всем желающим.

---

Если у вас есть знакомые, кто пользуются скриптом AI-BOLIT, пожалуйста, доведите данную информацию до их сведения.

Спасибо за внимание

Ветер 09.04.2012 14:22

Спасибо за скрипт.

Предлагаю добавить в отчет "Скрипт использует код, которые часто используются во вредоносных скриптах" найденную сигнатуру, чтобы можно было бегло оценить степень опасности без просмотра кода модуля.

Также не помешала бы shell версия для непосредственного запуска с сервера - сканирование может продолжаться дольше максимально разрешенного времени.

mnemonic 09.04.2012 18:17

Да, версия для запуска из консоли в планах.
Спасибо

chervals 09.04.2012 20:10

Я так понял, нужно залить скрипт корень сайта и набрать в браузере http://site.ru/ai-bolit.php ?
У меня сначала страница не грузится, а потом просто пустая.

Добавлено через 14 минут
На одном хостинге запустилось, на втором - нет.

mnemonic 10.04.2012 10:45

Цитата:

Сообщение от chervals (Сообщение 1229498)
Добавлено через 14 минут
На одном хостинге запустилось, на втором - нет.

К сожалению, без логов или FTP доступа подсказать причину не смогу.

Добавлено через 12 часов 59 минут
Скрипт в полный рост обсуждается на searchengines.ru

http://forum.searchengines.ru/showthread.php?p=10263575

mnemonic 13.04.2012 00:34

Обновилась версия скрипта. Новый UI, новые сигнатуры.

http://revisium.com/ai/

sopa8383 21.04.2012 14:50

Очень удобный скрипт, а не планируется ли выпуск данного скрипта в качестве приложения?

mnemonic 22.04.2012 23:08

Новая версия 20120422:

- добавлен режим работы из командной строки "php ai-bolit.php --help" (можно на email отсылать репорт)
- при запуске из командной строки: сохранение отчета в файл или отправка его по email, прогресс выполнения
- красивый размер файлов
- затраченное время на сканирование
- ограничение на сканирование файлов меньше указанного размера (по-умолчанию, < 10 Mb)
- новые сигнатуры JS

Качать здесь: http://revisium.com/ai/

Добавлено через 35 секунд
Цитата:

Сообщение от sopa8383 (Сообщение 1233451)
Очень удобный скрипт, а не планируется ли выпуск данного скрипта в качестве приложения?

Не планируется.

Sergoff 22.04.2012 23:48

Спасибо. Только на днях в вебмастере появилось сообщение о дорвее на моем старом сайте. Сам его найти не смог :( Попробую.

mnemonic 12.05.2012 23:51

- добавлен алгоритм дешифрования ASCII последовательностей перед проверкой сигнатур - это очень серьезный прорыв. Теперь кол-во детектируемого зла вырастет в разы.
- три новых сигнатуры JS вируса
- три сигнатуры шелла
- добавлена проверка .phtml и .shtml по-умолчанию
- исправлена ошибка отображения файлов с невидимыми ссылками

Рекомендую скачать и проверить ваши сайты.
http://revisium.com/ai/


Часовой пояс GMT +3, время: 14:20.

Работает на vBulletin® версия 3.8.7.
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Перевод: zCarot
SAPE.RU — система купли-продажи ссылок с главных и внутренних страниц сайтов.