http://www.revisium.com/ai/

git^Whg diff, ну или diff -u

а как дело было, расскажешь? и с чего такие подозрения?

Web Shell Detector есть версия на php и на python.

Подозрение в том, что среди тысячи клиентов есть раздолбай с протухшими CMS, суперсильными паролями admin/qwerty и пр. «Руками» грепать как-то уже неприлично. И главное - для отличия от обфускации

раздолбай с протухшими CMS, суперсильными паролями admin/qwerty

Че, прямо в коде плейнтекстом?

почти =)

Так с какого хера ты называешь это «вредоносным кодом»?

на одном ip куча сайтов? сочувствую

сочувствую

Чему? В этом нет ничего плохого.

если спам попрёт с одного из сайтов?

Пока роскомпетух не клюнет.

mail.add_x_header = On
mail.log = /var/log/php.mail.log

и мы точно знаем что за скрипт спамит

Пилю себе такой сейчас. AI-Bolit не устраивает

1) Отсутствием эвристического анализа 2) Отсутствием вменяемого способа исключить из сканирование папку или файл 3) Большим числом ложных срабатываний 4) Неумной ресурсоёмкой тактикой проверки (после однократной проверки разумно было бы проверять только то, что изменилос с последнего сканирования) 5) Необучаемостью (только обновлять антивирусные базы) 6) Неумением работать в фоне 7) Неумением слать сообщения об обнаруженных бяках 8) Неумением лечить (99% бяки весьма тупо добавляется в начало или конец файла)

и пр. и др.

О, точняк

8) неумением работать совместно с access-логом

и я того же мнения

http://www.revisium.com/ai/

ТС, обрати на этот инструмент внимание. В свое время помого найти около тысячи! зловредов на сайте, в котором два года провисел дырявый модуль джумлы. Прада сайту это не сильно помогло.

Ага. Только на php 5.3 и выше:)

Но ведь PHP сам вредоносен. Он ломает умы потенциально довольно умных людей.

http://quttera.com

А эта хрень с самописами умеет работать?

а антивирусник файловый натравить на шары, есть возможность в один путь свести места размещения?

А эта хрень с самописами умеет работать?

Смотря какой самопис. У нас основная часть вирусни была по типу - зашифрованный вредоносный код в файле с именем .jpg и подобных, а в тело сайта встраивается вызов такого файла, его дешифровка и исполнение.

Для массовых вредоносов, что лезут на сайт через дырявые модули CMS и для первичного анализа инструмент вполне подойдет. Для более индивидуальных проблем, возможно, что нет. Я не спец. в таких вопросах.

Попробую свои дырявые самописы проверить)

Попробую свои дырявые самописы проверить)

А, так ты про свою самописную CMS? Будет работать, почему нет.

На более древних пыхах я костыль соображу за часок с отладкой.

Да. но clamav не сильно, вроде, этот вид вредноносного ПО ищет, ЕМНИП

Aes non olet

Да пофиг, если пиплу надо - пусть используют.

Вот полный список возможностей сканера AI-BOLIT http://revisium.com/ru/blog/AI-BOLIT-features_list.html.

1. есть эвристический анализ, сканирует не только по базе сигнатур 2. папка или файл исключаются добавлением строки в файл .adirignore 3. используйте вайтлистинг с файлами .aknown, срабатываний будет на порядок меньше 4. ai-bolit - тул, который нужен для сканирования скомпрометированных ресурсов, он не антивирус, не файрволл и не выполняет контроль целостности. Поэтому не хранит базу просканированных файлов. Но данная задача легко решается, если получить список измененных файлов, так как он умеет выборочно сканировать указанный список. 5. базы дополняются универсальными правилами, которые работают на базе регэкспов 6. чтобы сканер работал в фоне, запустите его как фоновый процесс, будет работать в фоне. Какое это имеет отношение к скрипту ? 7. он умеет отсылать отчет на email или складывать его в txt/html формат. Мониторинг он не делает, это сканер. 8. это сканер, не антивирус, его задача - детектировать вредоносный и подозрительный код в файлах. Все хотели бы, чтобы одной кнопкой скрипт лечил сайт, но после лечения нескольких тысяч сайтов, могу уверенно заявить, что есть огромное число нюансов (на хостинге, в скриптах), то в промышленных масштабах сделать лечащий модуль для сайтов весьма нетривиальная задача. Код встраивается не только в начало или в конец. Конечно, когда сайтов 10-20 и они все ваши, то лечение сделать можно даже банальным откатыванием до предыдущих версий или на основе сохраненных копий при контроле целостности. Но в промышленных масштабах (универсальную) лечилку сделать вряд ли получится.

http://www.revisium.com/ai/

Дата регистрации: 10.03.2015 19:26:43

Отличная попытка, Айболит, но нет.

Да. но clamav не сильно, вроде, этот вид вредноносного ПО ищет, ЕМНИП

Кламав с этой задачей вообще никак не стравляется

попробуй разными антивирусами прогнать если есть такая возможность, периодически будешь это делать и спать спокойно

Верю. Но это дополнительный гемморой:)