как найти шелл на сайте

Вообщем суть такова: например у меня залит шелл, как с помощью его найти все другие шеллы на этом сайте если они там есть?

 

если ты зальешь шелл, то у тебя будет доступ к списку файлов(если safe mode=off) и ты сможешь читать файлы. шелы вида r57 c99,... узнать легко, открыв исходник файла, а если шел вида <? system($_GET['komanda']); ?> то эта строчка запмсывается в начале какого-нибудь файла, или в середине запрятана) ,читай файлы и смотри,ищи подозительные строчки.)

 

ога или может быть base64_decode

 

Если хост норм - там присутствует access.log. Смотри где есть много POST/GET запросов на один подозрительный файл.

 

есть замечательная команда find, вот с помощью нее и ищи в файлах что тебе нужно.

 

А если там base64?

 

и что? какие проблемы? к примеру пакованые шеллы:

Естественно, что всё не расскажут))

 

гугл рулит!

site:адрес сайта intitle:shell (или r57shell) filetypehp

 

Это жжесть... Имхо, access.log - самый актуальный.

 

grep -R "Шаблон" путь
тоже самое и с base64

P.s. работает только в юниховоподобных системах.

 

Посмотрел бы я на тебя, когда ты будешь искать в многосотмегобайтном access_log БОЛЬШОЕ количество post\get запросов к .php файлу =))

ps: не говоря уже о том,что расширение может быть совсем не .php

 

да да да

PHP:

..
if(strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false )
header('HTTP/1.0 404 Not Found');
..


и найди мне через гугл шелл тогда
всё это бред, обычные не пакованые шеллы ищутся find`ом, а другие только ручками

 

$n@ke, сначалa отсеять ненужное... ЗЫ: я так у себя нашел шелл =)

 

мое дело предложить, подсказать, а не навязывать свои способы...
удачного поиска.
Надеюсь вы не мои шеллы ищите))))))

 

Как-то неэтично все-таки искать шеллы коллег) А нашел - не трогай, имхо.

 

грепом

 

find по признакам

 

Даёшь проверку в непалящихся дирах пхп/пл/асп скриптов)),если *нету* шелла ).А так пропарсить скрипты на passthru,всякие там exec и system)Всё равно редко попадаются

 

хз, у меня на кроне каждые 12 часов запускаеца скрипт который собирает даты последнего изменения, вес,имя и колво файлов,сверяеться с прошлой версией,если чтото нетак - бот стучит в асику.+ все данные пишуться в мускул.хостер мне запретил запускать скрипт каждый час,сволоч, поэтому только через половину суток у меня идет чек.
Советую поставить чтоо похожее, видел викидывали давно еще в разделе чтото вроде такого.

 

нормальный шелл вы никогда не найдете. И дело тут даже не в привате, а просто в варианте оставления бекдора