прав, но большинство начинающих хеккеров использует имя по дефолту, влом менять на другое просто-напросто..
Бредовая затея. Как уже сказали, имя шела зависит от окружающих его файлов. Пример: admin_module1.Php//файл был admin_module2.Php// файл был admin_module3.Php //мой шел про сигнатуры: от поиска по сигнатурам спасет eval+base64 если комуто влом переводить код шела в басе64 ите,то хотя бы сотрите тяг <title>r57/c99 shell</title> ,т.К. Палица поисковиками.
Я как-бэ за второй вариант. Чем тебе не нравится тема? Щас все хакеры расскажут про свои шеллы, а потом ТС напишет мегосуперпуперпарсер и похенкает весь интырнет! Мне кажется, идея отличная. PS Кстати, я знаю как называет свои шеллы Spyder , но это прЭватная информация...
Кстати, сеошникам на заметку. Просто добавляйте на свои доры теги <title>r57/c99 shell</title> , и экономьте на прогонах, хрумерах и пиаристых мордах, поисковики дуром слетаются
наберите в гугле: inurl:?act=ftpquickbrute например сразу на 2-ой странице: http://www.porteirinha.mg.gov.br/acesso.php?act=ftpquickbrute&d=%2Fhome%2Fporteirinha%2Fwww%2F gov, не хрен собачий PS: А напишите парсер такого запроса, толку будет больше, имхо. Хотя нафига - непонятно. Знаний от этого больше не станет. ----------------------------------------------------- http://www.djmitchnmatch.com/index2.php?act=ftpquickbrute&d=%2Fhome%2Fdjmitchn%2F http://sudura-cemax.ro/Site/logs_6.09.07.php?act=ftpquickbrute&d=%2Fhome%2Fsudurace%2Fpublic_html%2FSite%2F http://www.porteirinha.mg.gov.br/acesso.php?act=ftpquickbrute&d=%2Fhome%2Fporteirinha%2Fwww%2Fcss%2F - еще ГАВ ------------ дальше уже ломает
N3tShell v. Emp3ror\ safe-mode perms intitle:- N3t o---[ SnIpEr_SA Shell | http://3asfh.net | intitle:SnIpEr_SA shell C2007Shell v. 1.0 pre-release build #16\ :: Command execute :: [ Enumerate ][ Files ][ Domains ][ MySQL ][ Encoder ][ Sec. Info ][ Cracker ][ Bypassers ][ Tools ][ Databases ][ Backdoor Host ][ Back Connect ][ Spread Shell ][ Kill Shell ] --[ c99shell modded by w4ck1ng. | w4ck1ng-shell intitle:\"shell@\" Home Back Forward UPDIR Refresh Search Buffer Encoder Tools Proc. FTP brute Sec. SQL PHP-code Update Feedback Self remove Халявщикам шеллов в подарок )
admincfg.php А вообще смысла темы не вижу ибо я их всегда называю по разному...Остальные думаю делают не иначе=)
Да ладно, то есть Code: eval(gzinflate(base64_decode( eval(base64_decode( нельзя использовать как сигнатуры?
можно,но измени ты чуть и все.Например:eval(file_get_contents или как было в одной статье на античате, через регулярку с модификатором.
Ну а мы сделаем поиск base64-подобных строк, поиск строк вида \x20, поиск строк по типу chr(). chr(), и подобного (с последующим декодом и поиском сигнатур), либо chroot с запуском скрипта и поиском сигнатур в выдаче