Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Скрипты, программы и технические решения
Дата
USD/RUB58.6550
BTC/USD0.0000
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии.

Закрытая тема
Опции темы Опции просмотра
Старый 01.07.2011, 14:50   #1
false
true
 
Регистрация: 26.09.2007
Сообщений: 218
Бабло: $41985
По умолчанию очистить серв от шеллов

так случилось что один проект взломали, выливать из репозитория по новой - не вариант - так как много чего канет в лету
не подскажете как вы ищете какерские шеллы на сайте (греп по бейз 64/евал делал)
false вне форума  
Старый 01.07.2011, 14:53   #2
Dr.Gonzo
gofuckingoogle
 
Аватар для Dr.Gonzo
 
Регистрация: 28.08.2008
Адрес: ГНР
Сообщений: 7,733
Бабло: $1059275
По умолчанию

По дате изменения/добавления файлов
Dr.Gonzo на форуме  
Старый 01.07.2011, 14:57   #3
dady
Senior Medved
 
Аватар для dady
 
Регистрация: 15.06.2008
Сообщений: 4,141
Бабло: $22472290
По умолчанию

Цитата:
Сообщение от Dr.Gonzo Посмотреть сообщение
По дате изменения/добавления файлов
дату если чо можно изменить
dady вне форума  
Старый 01.07.2011, 14:57   #4
spamless
Senior Member
 
Регистрация: 16.07.2009
Сообщений: 939
Бабло: $152432
По умолчанию

Цитата:
Сообщение от Dr.Gonzo Посмотреть сообщение
По дате изменения/добавления файлов
Неправильный подход
spamless вне форума  
Старый 01.07.2011, 15:08   #5
παφ
накидка-антиблик адидас
 
Аватар для παφ
 
Регистрация: 20.11.2010
Сообщений: 2,153
Бабло: $361580
По умолчанию

find /путь/ -type f -size +30k -name "*.php"

найдёт все файлы равные или больше 30кб, изменяй это значение и проходись руками по файлам подозрительным, так же меня расширение файлов
παφ вне форума  
Старый 01.07.2011, 15:16   #6
Dadee
Шоколатье
 
Аватар для Dadee
 
Регистрация: 20.04.2007
Сообщений: 5,954
Бабло: $715885
По умолчанию

неужто никто до сих пор не накалякал под линух какой нить антивир, который бы сканил файлы на момент бэкдоров/шеллов и находил хотя бы какие то подозрительные, которые уже потом можно ручками прошарить.
кучи однообразных говнопрожек, которые делают одно и то же накодили а это не осилили. не верю.
ведь алгоритмически это вполне возможно, по сигнатурам палить шеллы, а также всякое закодированное говно. ифреймы итд.
__________________
Зарабатывай с SearchAnyway. Отличные биды и уникальный фид

Последний раз редактировалось Dadee; 01.07.2011 в 15:21.
Dadee вне форума  
Старый 01.07.2011, 15:22   #7
PsihoDiller
адекватный
 
Аватар для PsihoDiller
 
Регистрация: 17.06.2011
Сообщений: 61
Бабло: $16780
По умолчанию

Можно сканировать Dr.Web, он находит шеллы.
Но, если в коде убрать или приписать одну букву, то он ничего не найдет.

Дополнительно можно через grep фильтровать скрипты с подозрительными функциями.

Но это дело временное, потому что уязвимость через которую тебя похакали ты этим не закроешь.
PsihoDiller вне форума  
Старый 01.07.2011, 15:25   #8
KongWeiLing
Senior Member
 
Аватар для KongWeiLing
 
Регистрация: 28.03.2011
Сообщений: 419
Бабло: $80935
По умолчанию

дыру то прикрыл?
KongWeiLing вне форума  
Старый 01.07.2011, 15:27   #9
dady
Senior Medved
 
Аватар для dady
 
Регистрация: 15.06.2008
Сообщений: 4,141
Бабло: $22472290
По умолчанию

ищи строку в файлах которая присутствует почти во всех шеллах, execute например, shell и тп.
dady вне форума  
Старый 01.07.2011, 15:28   #10
Muhomor
простите, lolwto..?
 
Аватар для Muhomor
 
Регистрация: 18.12.2008
Сообщений: 259
Бабло: $62369
Отправить сообщение для Muhomor с помощью ICQ
По умолчанию

С помощью толкового админа. Могу скинуть контакты, мне чистил серв после того как другой админ недоудалил руткит. Все на высшем уровне, денег копейки взял.
__________________
SeoBDSM
Muhomor вне форума  
Закрытая тема



Опции темы
Опции просмотра