Старый 09.04.2012, 11:19   #1
Специалист
 
Аватар для mnemonic
 
Регистрация: 29.10.2007
Адрес: Планета Земля
Сообщений: 231
Вес репутации: 141
mnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личность
По умолчанию Скрипт поиска вредоносного ПО на хостинге

Написал небольшой скрипт, который позволяет искать шеллы по сигнатурам (более 40), а также дорвеи, несанкционированные редиректы через .htaccess, код продажи ссылок sape/trustlink/******** (возможно, не ваш) , отображает список каталогов, открытых на запись и всякую другую полезную мелочевку.

Пользуюсь сам для вычищения зла с сайтов клиентов и своих собственных. Скрипт постоянно обновляется. Велкам!

Скачать со страницы: http://revisium.com/ai/

Если скрипт понравится, буду благодарен, если вы расскажете о скрипте знакомым или друзьям.

Спасибо.

З.Ы.

Если найдутся шеллы или дорвеи, которые не определились скриптом, пожалуйста, пришлите их. Я добавлю в базу. Конструктивная критика всячески приветствуется.

Внимание, важное объявление.

Многие пользователи скрипта AI-BOLIT совершают глупости, делая свой сайт (сервер) еще более уязвимым. Поэтому я перечисляю, что не просто не желательно, а запрещено делать по соображениям безопасности:

1. Запрещено давать ссылку на файл отчета кому бы то ни было. Особенная глупость - ставить ссылку с форума на свой файл отчета со словами "посмотрите что тут у меня" или ссылку на скрипт.

Ваш отчет (кроме того, что просмотрят все хакеры) проиндексируется поисковиками и теперь весь рунет или даже мир узнает, какая версия сms у вас на хостинге, какие настройки php, какие файлы и в каких каталогах лежат, где открытые на запись директории и т.п. Это Information Leakage (утечка важной информации). То есть вы тем самым добровольно предоставляете всю необходимую для взлома информацию злоумышленникам.

Подумайте над этим прежде чем выкладывать отчет или ссылку на него в паблик.

2. Запрещено оставлять скрипт и файл отчета на сайте.

Если хотите запустить регулярную проверку скрипта - делайте это разумно. Кладите скрипт в каталог, вне сайта (например, на уровень выше) и запускайте по cron. Не нужно хранить его в корневом каталоге сайта.

3. Запрещено ставить простой пароль в файле ai-bolit.php

Пароль должен быть длинным, состоять из заглавных и малых букв, цифр и спецсимволов, чтобы не сбрутили. Если у вас пароль "1" или "123", считайте вы дали ссылку на файл отчета всем желающим.

---

Если у вас есть знакомые, кто пользуются скриптом AI-BOLIT, пожалуйста, доведите данную информацию до их сведения.

Спасибо за внимание
__________________
Гипножабу - в президенты!

Последний раз редактировалось zhegloff; 23.01.2013 в 12:41.
mnemonic вне форума   Ответить с цитированием
Старый 09.04.2012, 14:22   #2
Новичок
 
Регистрация: 07.02.2010
Сообщений: 17
Вес репутации: 0
Ветер скоро станет известенВетер скоро станет известен
По умолчанию

Спасибо за скрипт.

Предлагаю добавить в отчет "Скрипт использует код, которые часто используются во вредоносных скриптах" найденную сигнатуру, чтобы можно было бегло оценить степень опасности без просмотра кода модуля.

Также не помешала бы shell версия для непосредственного запуска с сервера - сканирование может продолжаться дольше максимально разрешенного времени.
Ветер вне форума   Ответить с цитированием
Старый 09.04.2012, 18:17   #3
Специалист
 
Аватар для mnemonic
 
Регистрация: 29.10.2007
Адрес: Планета Земля
Сообщений: 231
Вес репутации: 141
mnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личность
По умолчанию

Да, версия для запуска из консоли в планах.
Спасибо
__________________
Гипножабу - в президенты!
mnemonic вне форума   Ответить с цитированием
Старый 09.04.2012, 20:10   #4
Мастер
 
Регистрация: 25.06.2010
Сообщений: 602
Вес репутации: 121
chervals - за этого человека можно гордитсяchervals - за этого человека можно гордитсяchervals - за этого человека можно гордитсяchervals - за этого человека можно гордитсяchervals - за этого человека можно гордитсяchervals - за этого человека можно гордитсяchervals - за этого человека можно гордитсяchervals - за этого человека можно гордитсяchervals - за этого человека можно гордитсяchervals - за этого человека можно гордится
По умолчанию

Я так понял, нужно залить скрипт корень сайта и набрать в браузере http://site.ru/ai-bolit.php ?
У меня сначала страница не грузится, а потом просто пустая.

Добавлено через 14 минут
На одном хостинге запустилось, на втором - нет.

Последний раз редактировалось chervals; 09.04.2012 в 20:10. Причина: Добавлено сообщение
chervals вне форума   Ответить с цитированием
Старый 10.04.2012, 10:45   #5
Специалист
 
Аватар для mnemonic
 
Регистрация: 29.10.2007
Адрес: Планета Земля
Сообщений: 231
Вес репутации: 141
mnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личность
По умолчанию

Цитата:
Сообщение от chervals Посмотреть сообщение
Добавлено через 14 минут
На одном хостинге запустилось, на втором - нет.
К сожалению, без логов или FTP доступа подсказать причину не смогу.

Добавлено через 12 часов 59 минут
Скрипт в полный рост обсуждается на searchengines.ru

http://forum.searchengines.ru/showthread.php?p=10263575
__________________
Гипножабу - в президенты!

Последний раз редактировалось mnemonic; 10.04.2012 в 10:45. Причина: Добавлено сообщение
mnemonic вне форума   Ответить с цитированием
Старый 13.04.2012, 00:34   #6
Специалист
 
Аватар для mnemonic
 
Регистрация: 29.10.2007
Адрес: Планета Земля
Сообщений: 231
Вес репутации: 141
mnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личность
По умолчанию

Обновилась версия скрипта. Новый UI, новые сигнатуры.

http://revisium.com/ai/
__________________
Гипножабу - в президенты!
mnemonic вне форума   Ответить с цитированием
Старый 21.04.2012, 14:50   #7
Новичок
 
Аватар для sopa8383
 
Регистрация: 09.02.2011
Адрес: Ставрополь
Сообщений: 34
Вес репутации: 88
sopa8383 на пути к лучшему
Отправить сообщение для sopa8383 с помощью ICQ
По умолчанию

Очень удобный скрипт, а не планируется ли выпуск данного скрипта в качестве приложения?
sopa8383 вне форума   Ответить с цитированием
Старый 22.04.2012, 23:08   #8
Специалист
 
Аватар для mnemonic
 
Регистрация: 29.10.2007
Адрес: Планета Земля
Сообщений: 231
Вес репутации: 141
mnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личность
По умолчанию

Новая версия 20120422:

- добавлен режим работы из командной строки "php ai-bolit.php --help" (можно на email отсылать репорт)
- при запуске из командной строки: сохранение отчета в файл или отправка его по email, прогресс выполнения
- красивый размер файлов
- затраченное время на сканирование
- ограничение на сканирование файлов меньше указанного размера (по-умолчанию, < 10 Mb)
- новые сигнатуры JS

Качать здесь: http://revisium.com/ai/

Добавлено через 35 секунд
Цитата:
Сообщение от sopa8383 Посмотреть сообщение
Очень удобный скрипт, а не планируется ли выпуск данного скрипта в качестве приложения?
Не планируется.
__________________
Гипножабу - в президенты!

Последний раз редактировалось mnemonic; 22.04.2012 в 23:08. Причина: Добавлено сообщение
mnemonic вне форума   Ответить с цитированием
Старый 22.04.2012, 23:48   #9
Привилегированный сапёр
 
Аватар для Sergoff
 
Регистрация: 21.04.2008
Сообщений: 2,426
Вес репутации: 237
Sergoff - прекрасное будущееSergoff - прекрасное будущееSergoff - прекрасное будущееSergoff - прекрасное будущееSergoff - прекрасное будущееSergoff - прекрасное будущееSergoff - прекрасное будущееSergoff - прекрасное будущееSergoff - прекрасное будущееSergoff - прекрасное будущееSergoff - прекрасное будущее
По умолчанию

Спасибо. Только на днях в вебмастере появилось сообщение о дорвее на моем старом сайте. Сам его найти не смог Попробую.
Sergoff вне форума   Ответить с цитированием
Старый 12.05.2012, 23:51   #10
Специалист
 
Аватар для mnemonic
 
Регистрация: 29.10.2007
Адрес: Планета Земля
Сообщений: 231
Вес репутации: 141
mnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личностьmnemonic - просто великолепная личность
По умолчанию

- добавлен алгоритм дешифрования ASCII последовательностей перед проверкой сигнатур - это очень серьезный прорыв. Теперь кол-во детектируемого зла вырастет в разы.
- три новых сигнатуры JS вируса
- три сигнатуры шелла
- добавлена проверка .phtml и .shtml по-умолчанию
- исправлена ошибка отображения файлов с невидимыми ссылками

Рекомендую скачать и проверить ваши сайты.
http://revisium.com/ai/
__________________
Гипножабу - в президенты!
mnemonic вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Поиск вредоносного кода Последний Герой Деловое сотрудничество 0 15.11.2010 08:14
Скрипт поиска по таблице... lbmoney Разработка и сопровождение сайтов 8 13.08.2010 00:52
Неверные результаты поиска через историю поиска. Vumnikov Ошибки при работе с системой 0 23.03.2010 15:02
После апгрейда на хостинге перестал работать скрипт сапы. Нужна помощь! assedo Ошибки при работе с системой 2 12.11.2008 22:46


Часовой пояс GMT +3, время: 19:17.