как найти шелл на сайте

Discussion in 'Песочница' started by ginzon, 24 May 2009.

Page 2 of 2
  1. Qwazar

    Qwazar Elder - Старейшина

    Joined:
    2 Jun 2005
    Messages:
    989
    Likes Received:
    904
    Reputations:
    587
    А смысл писать в БД, если у того кто залил шелл к этой самой БД есть полный доступ и он там поправит всё что захочет?
     
    #21 Qwazar, 1 Jun 2009
  2. ReisendeR

    ReisendeR New Member

    Joined:
    28 Apr 2009
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0
    смысл в защите твоего сайта. ты же не будешь постоянно сидеть и перекапывать свой сайт, что бы найти изменения. тут написано не то что сделать на чужом, а метод защиты своего
     
    #22 ReisendeR, 1 Jun 2009
  3. Qwazar

    Qwazar Elder - Старейшина

    Joined:
    2 Jun 2005
    Messages:
    989
    Likes Received:
    904
    Reputations:
    587
    Я разве об этом говорил? Лучше crc хранить там, где хакер не сможет инфу править.
     
    #23 Qwazar, 1 Jun 2009
    1 person likes this.
  4. Krist_ALL

    Krist_ALL Banned

    Joined:
    14 Jan 2009
    Messages:
    436
    Likes Received:
    193
    Reputations:
    24
    мона написать скрипт котрый будет хранить мд5 важных файлов -напирмер мд5 от индекс.пхп и проверяет раз в сутки напирмер изменилось ли значение. если да то тревога!! можно весь сайт так запомнить (мд5) и проверять.
     
    #24 Krist_ALL, 1 Jun 2009
  5. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,036
    Reputations:
    1,065
    Все уже написано до нас. Боже упаси от таких скриптов, это комплексная задача целой системы, в ином случаи грозит подмена истенной хеш суммы.
    • Проверку целостности файлов и директорий (приминяется не зависимо от прав доступа) можно добиться при помощи регулярного контроля чек-суммы, что включает в себя модификацию как внутренней структуры, так и изменение определенных полей.
      Снимать её нужно заранее с чистой системы, а не как, к сожалению, это бывает обычно.
    • Использовать поиск по фиксированному и заранее известному размеру вредоносного ПО.
    • Обращать внимание на наличие и интерпретацию (.htaccess) файлов с именами (используйте для поиска наиболее часто встречающиеся имена файлов) и расширениями, отличающихся от стандартного набора/правил ПО.
    • Анализ файлов журналирования, как через панель управления, так и в ручном режиме на наличие "обращений".
    • Применять методику "по шаблону", поиск известных функций, либо строк, приемлемых при использовании вредоносного ПО.
      egrep -lr 'eval|system|exec|base64_decode|move_uploaded_file'.
     
    _________________________
    #25 ettee, 1 Jun 2009
  6. Велемир

    Велемир Banned

    Joined:
    19 Jun 2006
    Messages:
    1,123
    Likes Received:
    96
    Reputations:
    -25
    А можно ли изменить как-то мд5 хеш файла на прежний,предварительно изменив содержимое файла ?) Не хочу врать,но где-то писали про бреш в линуксе или фряхе)
     
    #26 Велемир, 2 Jun 2009
  7. Велемир

    Велемир Banned

    Joined:
    19 Jun 2006
    Messages:
    1,123
    Likes Received:
    96
    Reputations:
    -25
    Честно говоря,оставлять я их не умею))),но мои шеллы не находят.Пару раз чуть по тупости не оставил шелл в индексируемой директории.Сомневаюсь,что очень многие оставляют бекдоры).Если шелл создадут такой же,как пароль,т.е. простой,то можно перебирать названия скрипта в каждой веб дире.Это при условии,что нет проверок и ограничений,прописанных в .htaccess.Ведь не все же создают шеллы с ахренительными названиями.Кстати,насчёт логов:их можно разбить на части,считывая построчно.Если я в бокноте открою 300 мегабайтный фаил,то,разумеется,у меня уйдут горы лицезрения его содержимого(проц 1.4 гига).При использовании цикла с fgets() или fgetc() на это тратится гораздо меньше времени,да и система не виснет.Затем,получив количество и имена создаваемых файлов,открывать их исчитывать.То,что вы писали про мегабайтные логи,ещё ерунда.Я видел лог 16 гигабайт...хорошо,что не открыл)

    ЗЫ: Мде...хреного млин(
     
    #27 Велемир, 2 Jun 2009
  8. ettee

    ettee Administrator
    Staff Member

    Joined:
    12 Oct 2006
    Messages:
    466
    Likes Received:
    1,036
    Reputations:
    1,065
    Вероятней всего речь шла о недочете в самом алгоритме хеширования, либо в конкретном программном обеспечение, но не в целевой программно-аппаратной платформе.

    По поводу анализа журналов, никто уже давно не занимается парсингом в ручную, за исключением частных случаев, существуют связки ПО которые с этим прекрасно справляются, kiwi syslog, facilities у syslog, syslog-ng, а так же стандартные системы журналирования у демонов. Все это прекрасно справляется с фильтрацией под определенные критерии, не стоит выжимать проблему из пальца.
     
    _________________________
    #28 ettee, 2 Jun 2009
    Last edited: 2 Jun 2009
(You must log in or sign up to post here.)
Page 2 of 2
Loading...
Similar Threads - найти шелл сайте
  1. navai

    Подскажите шелл на PHP8, Linux 4

    navai, 16 Mar 2023, in forum: Песочница
    Replies:
    3
    Views:
    3,098
    navai
    20 Mar 2023
  2. gilo20

    Вопрос по шеллу

    gilo20, 26 Feb 2023, in forum: Песочница
    Replies:
    2
    Views:
    2,483
    crlf
    27 Feb 2023
  3. navai

    Можно ли залить .htaccess на WP? Или как залить шелл

    navai, 4 Jan 2023, in forum: Песочница
    Replies:
    3
    Views:
    3,156
    lifescore
    14 Jan 2023
  4. zase

    массовый взлом сайтов

    zase, 25 Dec 2022, in forum: Песочница
    Replies:
    1
    Views:
    3,531
    lifescore
    14 Jan 2023
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.