Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Скрипты, программы и технические решения
Дата
USD/RUB61.5490
BTC/USD0.0000
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии.

Закрытая тема
Опции темы Опции просмотра
Старый 01.07.2011, 14:50   #1
false
true
 
Регистрация: 26.09.2007
Сообщений: 218
Бабло: $41985
По умолчанию очистить серв от шеллов

так случилось что один проект взломали, выливать из репозитория по новой - не вариант - так как много чего канет в лету
не подскажете как вы ищете какерские шеллы на сайте (греп по бейз 64/евал делал)
false вне форума  
Старый 01.07.2011, 14:53   #2
Dr.Gonzo
gofuckingoogle
 
Аватар для Dr.Gonzo
 
Регистрация: 28.08.2008
Адрес: ГНР
Сообщений: 7,868
Бабло: $1074635
По умолчанию

По дате изменения/добавления файлов
Dr.Gonzo вне форума  
Старый 01.07.2011, 14:57   #3
dady
Senior Medved
 
Аватар для dady
 
Регистрация: 15.06.2008
Сообщений: 4,148
Бабло: $22474795
По умолчанию

Цитата:
Сообщение от Dr.Gonzo Посмотреть сообщение
По дате изменения/добавления файлов
дату если чо можно изменить
dady вне форума  
Старый 01.07.2011, 14:57   #4
spamless
Senior Member
 
Регистрация: 16.07.2009
Сообщений: 939
Бабло: $152442
По умолчанию

Цитата:
Сообщение от Dr.Gonzo Посмотреть сообщение
По дате изменения/добавления файлов
Неправильный подход
spamless вне форума  
Старый 01.07.2011, 15:08   #5
παφ
накидка-антиблик адидас
 
Аватар для παφ
 
Регистрация: 20.11.2010
Сообщений: 2,153
Бабло: $361580
По умолчанию

find /путь/ -type f -size +30k -name "*.php"

найдёт все файлы равные или больше 30кб, изменяй это значение и проходись руками по файлам подозрительным, так же меня расширение файлов
παφ вне форума  
Старый 01.07.2011, 15:16   #6
Dadee
Шоколатье
 
Аватар для Dadee
 
Регистрация: 20.04.2007
Сообщений: 5,959
Бабло: $717025
По умолчанию

неужто никто до сих пор не накалякал под линух какой нить антивир, который бы сканил файлы на момент бэкдоров/шеллов и находил хотя бы какие то подозрительные, которые уже потом можно ручками прошарить.
кучи однообразных говнопрожек, которые делают одно и то же накодили а это не осилили. не верю.
ведь алгоритмически это вполне возможно, по сигнатурам палить шеллы, а также всякое закодированное говно. ифреймы итд.

Последний раз редактировалось Dadee; 01.07.2011 в 15:21.
Dadee вне форума  
Старый 01.07.2011, 15:22   #7
PsihoDiller
адекватный
 
Аватар для PsihoDiller
 
Регистрация: 17.06.2011
Сообщений: 61
Бабло: $16780
По умолчанию

Можно сканировать Dr.Web, он находит шеллы.
Но, если в коде убрать или приписать одну букву, то он ничего не найдет.

Дополнительно можно через grep фильтровать скрипты с подозрительными функциями.

Но это дело временное, потому что уязвимость через которую тебя похакали ты этим не закроешь.
PsihoDiller вне форума  
Старый 01.07.2011, 15:25   #8
KongWeiLing
Senior Member
 
Аватар для KongWeiLing
 
Регистрация: 28.03.2011
Сообщений: 419
Бабло: $80935
По умолчанию

дыру то прикрыл?
KongWeiLing вне форума  
Старый 01.07.2011, 15:27   #9
dady
Senior Medved
 
Аватар для dady
 
Регистрация: 15.06.2008
Сообщений: 4,148
Бабло: $22474795
По умолчанию

ищи строку в файлах которая присутствует почти во всех шеллах, execute например, shell и тп.
dady вне форума  
Старый 01.07.2011, 15:28   #10
Muhomor
простите, lolwto..?
 
Аватар для Muhomor
 
Регистрация: 18.12.2008
Сообщений: 264
Бабло: $65669
Отправить сообщение для Muhomor с помощью ICQ
По умолчанию

С помощью толкового админа. Могу скинуть контакты, мне чистил серв после того как другой админ недоудалил руткит. Все на высшем уровне, денег копейки взял.
Muhomor вне форума  
Закрытая тема



Опции темы
Опции просмотра