LINUX.ORG.RU

Выход iScanner 0.1 - сканера для обнаружения и удаления вредоносного кода с вебстраниц

 , ,


0

0

iSecur1ty анонсировала первую версию iScanner 0.1. iScanner - это бесплатный инструмент с открытым исходным кодом, который позволяет легко и автоматически обнаруживать и удалять вредоносный код на вебстраницах Linux-сервера.

iScanner разработан iSecur1ty на языке программирования Ruby, текущая версия программы 0.1 была выпущена 31.01.2010 под лицензией GNU Affero General Public License 3.0.

Функции iScanner:

  • Обнаружение вредоносного кода на вебстраницах, который может находиться в спрятанных iframe тегах, javascript, vbscript и activex объектах.
  • Расширенный лог показывающий инфицированные файлы и вредоносный код
  • Возможность автоматической очистки инфицированных вебстраниц
  • Простая и редактируемая база данных сигнатур
  • Включенная система обновления, которая позволяет легко обновлять программу и базу данных
  • Очень гибкие опции и легкость в использовании
  • Быстрый сканер с хорошей производительностью
  • Полностью бесплатен

Получить iScanner 0.1 можно здесь.

>>> Официальный сайт проекта

Re: Выход iScanner 0.1 - сканера для обнаружения и удаления вредоносного кода с вебстраниц

iScanner is free open source tool lets you detect and remove malicious codes and web pages viruses from your Linux/Unix server easly and automatically.

This tool is programmed by iSecur1ty using Ruby programming language, the current version of iScanner is «0.1» released on (31-Jan-2010) under the terms of GNU Affero General Public License 3.0.

iScanner, easly, iSecur1ty Ruby

Какой противоречивый образ складывается

И главное - СОРЦОВ НА САЙТЕ НЕТ!

Настоятельно прошу не подтверждать, если не хочется массовой забавы в виде травли автора с дизассемблерами наперевес.

t184256 ★★★★★ ()

Re: Выход iScanner 0.1 - сканера для обнаружения и удаления вредоносного кода с вебстраниц

Цитируем t184256

Настоятельно прошу не подтверждать, если не хочется массовой забавы в виде травли автора с дизассемблерами наперевес.

И тут же оперативненько: Проверено: anonymous_incognito

Ждем пробуждения троллей, запасаем попкорн.

t184256 ★★★★★ ()

> И главное - СОРЦОВ НА САЙТЕ НЕТ!

А там что-то откомпилировано или скрипт обфусцирован?

Честно говоря, эта вещь пока не производит особого впечатление, но при своём развитии может стать достаточно полезной для хостеров.

anonymous_incognito ★★★★★ ()
Ответ на: комментарий от anonymous_incognito

Re: Выход iScanner 0.1 - сканера для обнаружения и удаления вредоносного кода с вебстраниц

Ох черт, как я мощно прогнал. Есть там сорцы, есть, аж 271 строка.

Краткий пересказ на русском псевдокоде:

#!shebang
#copyright

class ЕдинственныйКласс:
 def initialize:
  всякий getopt
 def banner:
  print опять_всякий_копирайт
 def parse
  getopt возвращается
 def run:
  попечатать
  потупить
  попечатать
  файл.каждый делать файл
   scan(файл)
   если заражено и размер файла больше нуля
    насрать в логи
    файл_почистить
 def scan(файл):
  строчка_базы_данных.каждая делать запись:
   какой-то хак про многострочные регекспы??
   если регексп.удовлетворять(файл.контент)
    плохой файл
 def update:
  пойти скачать апдейт

ЕдинственныйКласс.run
t184256 ★★★★★ ()

Re: Выход iScanner 0.1 - сканера для обнаружения и удаления вредоносного кода с вебстраниц

База вирусов:

--- 
- version: 0.1.0
- date: 31/01/2010
- copyright: iSecur1ty <http://www.isecur1ty.org>
- - 1.0
  - <iframe.*?hidden.*?>.*?<\/iframe>
  - Hidden iframe tag detected.
  - MU
- - 1.1
  - <iframe.*?hidden.*?>
  - Hidden iframe tag detected.
  - LN
- - 2.0
  - <script.*?unescape.*?(%u0|%uc|%u8|%u5).*?<\/script>
  - Function 'unescape' detected, possible javascript shellcode.
  - MU
- - 3.0
  - <object.*?classid.*?target.*?<\/object>
  - ActiveX object detected, possible malicious code to exploit IE vulnerabilities.
  - MU
- - 3.1
  - <script.*?vbscript.*?<\/script>
  - vbscript code detected, sometimes used to exploit IE vulnerabilities.
  - MU
- - 4.0
  - (LPORT=|EXITFUNC=|Encoder=)
  - Genirec metasploit shellcode signature detected (check the file).
  - LN
- - 4.1
  - shellcode
  - The word 'shellcode' detected in your source file (check the file).
  - LN
- - 5.0
  - base64_decode(\s*)\(.*?\)(\s*);
  - Function 'base64_decode' detected, possible encoded malicious code.
  - MU

Таак, в любом случае я за попкорном. Реквестирую однострочник на шелле с той же функциональностью, отряд анонимусов с говнометами наперевес, представителей Ъ-энтерпрайза с воплями «я джва года хочу такое комплексное решение по защите хостинга» и iZEN'а просто так, вместо Саныча.

t184256 ★★★★★ ()
Ответ на: OMG от kir4

Re: OMG

JESUS CHRIST IT'S ALKAЙDA GET IN THE CAR!

anonymous ()
Ответ на: OMG от kir4

Re: Выход iScanner 0.1 - сканера для обнаружения и удаления вредоносного кода с вебстраниц

(растерянный, мокрый, с полотенцем на голове и пачкой чипсов в руках) Кэп? Кэп!.. Официант! Пожалуйста, включите в мой прошлый заказ одного К. О!

t184256 ★★★★★ ()

всегда поражался о том как люди парсят HTML — через регулярные выражения :-D

....что вобщемто объясняет — почему нынче не моден XHTML ( application/xhtml+xml ) . ибо regexp`ами его не запарсишь , и наверно это вызывает страх :-)

mkfifo ()
Ответ на: OMG от kir4

look at http://www.isecur1ty.org/

миленький сайт... впервые вижу симпотный арабский ресурс

real_kas ()

вывалился в осадок когда наткнулся на папку с расширением в названии

./iscanner -f /home/user/ -e htm:html:php -o infected.log

Starting iScanner 0.1 on [] at (04/02/2010 - 08:51:06)
Copyright (C) 2010 iSecur1ty <http://www.isecur1ty.org>

[*] Locating files, please wait...
[*] Scanning [419] files found. (db:0.1.0 - 31/01/2010)

/public_html/modules/main/template/d_menu.php (Errno::EISDIR)
from ./iscanner:160:in `scan'
from ./iscanner:125:in `run'
from ./iscanner:124:in `each'
from ./iscanner:124:in `run'
from ./iscanner:271

ymrs ()
Ответ на: комментарий от ymrs

а оригинальная идея кстате — отличать файл от папки в зависимости от расширения :-)

а давным давно ещё в PHP был баг с тем что если назвать папку начиная с «http:»

«http:фигня.блаблабла» (так как ":" не запрещённый символ)

-- то PHP-интерпретатор мог в ограниченном режиме (кажется через «http:фигня.блаблабла/../../..» , точно незнаю ) предоставить доступ к запрещённвм файлам :-)

mkfifo ()

> Ждем пробуждения троллей, запасаем попкорн.

Тролль ждет пробуждения троллей?

Сам с собой поговорил, сам себя затроллил, сам себя послал... самозабанился бы наконец.

ZigmunD ()
Ответ на: OMG от kir4

> look at http://www.isecur1ty.org/

А сайтец приятный, да. Только меня сначала немного смутила полосам прокрутки слева. :)

ZigmunD ()

судя по доменному имени авторы малолетние хацкеры, но по крайней мере знают html, что большая редкость на лоре

af5 ★★★★★ ()

лоооол. и сам iscanner, и сайт айсекьюрити доставляют, утренний заряд бодрости!

в соседнем топике намного более крутой nikto, а если на руби - так в Metasploit есть подобная фигня, но естественно более-мене по-человечески реализованная.

П.С. на руби пишут только арабские школьники-террористы, настоящие пацаны пишут на common lisp!

volh ★★ ()
Ответ на: комментарий от volh

П.С. на руби пишут только арабские школьники-террористы

еще быстропечатающие индусы и негры

real_kas ()
Ответ на: OMG от kir4

Re: Выход iScanner 0.1 - сканера для обнаружения и удаления вредоносного кода с вебстраниц

При пристальном рассмотрении заметен один поразительный парадокс, коллега. С одной стороны, этот сайт очевидно делало на два школьника больше, чем предыдущий, с другой стороны, их тут постаралось раза в 3 больше! Ваше мнение, коллега?

t184256 ★★★★★ ()

Блин оказывается я невнимательно прочитал. Ни какой это
ни icap походу.

обнаруживать и удалять вредоносный код на вебстраницах Linux-сервера.

Оно как то может ломать веб сервера .... хм круто !

mx_ ()
Ответ на: комментарий от ZigmunD

Re: Выход iScanner 0.1 - сканера для обнаружения и удаления вредоносного кода с вебстраниц

Я не настоящий боевой тролль, я моська-школоло. Тогда уж если я тролль, то ТС - троллина, а anonymous_incognito - троллищща.

t184256 ★★★★★ ()
Ответ на: комментарий от mx_

Оно как то может ломать веб сервера .... хм круто !

почему бы и нет, если получен доступ к превилигированному пользователю

real_kas ()

Re: Выход iScanner 0.1 - сканера для обнаружения и удаления вредоносного кода с вебстраниц

Я понял! Сабж - зачаток долгожданной server-side реализации популярного в народе NoScript!

t184256 ★★★★★ ()
Ответ на: комментарий от Amazing

что там приятного? обычная joomla и наверно с ворованным шаблоном

пофиг какой шаблон, главное приятный

real_kas ()
Ответ на: комментарий от darkden

Re: Выход iScanner 0.1 - сканера для обнаружения и удаления вредоносного кода с вебстраниц

Тред почитай. сбило с толку отсутствие .rb

Так и быть, перед тобой отдельно извинюсь: извини, darkden, за наглое 4.2, смутило меня расширения отсутствие, а file быстренько натравить мозга не догадалась. Прощаешь?

t184256 ★★★★★ ()

Функции iScanner: # Полностью бесплатен

anonymous ()
Ответ на: комментарий от anonymous_incognito

На питоне? Для хостеров? _ЭТО_:? Нееее... добавлять еще головняка - ето гон :) Вот если бы грамотно и на С, тогда было бы интерестно, а так....

Jetty ★★★★★ ()

Я попытался войти в админку а она мне ответила :

Bad Request

Your browser sent a request that this server could not understand. Size of a request header field exceeds server limit.

Authorization: Basic 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

...

anonymous ()
Ответ на: комментарий от anonymous

а что значит этот самый --

00000000  39 39 39 39 39 46 43 3a  20 4c 69 6e 75 78 2e 6f  |99999FC: Linux.o|
00000010  72 67 2e 72 75 20 20 09  20 20 35 33 38 41 42 40  |rg.ru  .  538AB@|
00000020  30 46 38 4f 20 2d 20 12  45 3e 34 20 18 3c 4f 3a  |0F8O - .E>4 .<O:|
00000030  20 1f 30 40 3e 3b 4c 3a  20 1d 3e 32 3e 41 42 38  | .0@>;L: .>2>AB8|
00000040  20 2d 20 13 30 3b 35 40  35 4f 20 2d 20 24 3e 40  | - .0;5@5O - $>@|
00000050  43 3c 20 2d 20 22 40 35  3a 35 40 20 2d 20 57 69  |C< - "@5:5@ - Wi|
00000060  6b 69 20 2d 20 1f 3e 38  41 3a 20 1d 3e 32 3e 41  |ki - .>8A: .>2>A|
00000070  42 38 20 2d 20 53 65 63  75 72 69 74 79 20 09 20  |B8 - Security . |
00000080  20 20 20 20 20 2a 20 5b  52 53 53 5d 20 20 20 20  |     * [RSS]    |
00000090  20 2a 20 20 5b 23 5d 20  20 20 12 4b 45 3e 34 20  | *  [#]   .KE>4 |
000000a0  69 53 63 61 6e 6e 65 72  20 30 2e 31 20 2d 20 41  |iScanner 0.1 - A|
000000b0  3a 30 3d 35 40 30 20 34  3b 4f 20 3e 31 3d 30 40  |:0=5@0 4;O >1=0@|
000000c0  43 36 35 3d 38 4f 20 38  20 43 34 30 3b 35 3d 38  |C65=8O 8 C40;5=8|
000000d0  4f 20 32 40 35 34 3e 3d  3e 41 3d 3e 33 3e 20 3a  |O 2@54>=>A=>3> :|
000000e0  3e 34 30 20 41 20 32 35  31 41 42 40 30 3d 38 46  |>40 A 251AB@0=8F|
000000f0  20 20 69 53 65 63 75 72  31 74 79 20 30 3d 3e 3d  |  iSecur1ty 0=>=|
00000100  41 38 40 3e 32 30 3b 30  20 3f 35 40 32 43 4e 20  |A8@>20;0 ?5@2CN |
00000110  32 35 40 41 38 4e 20 69  53 63 61 6e 6e 65 72 20  |25@A8N iScanner |
00000120  30 2e 31 2e 20 69 53 63  61 6e 6e 65 72 20 2d 20  |0.1. iScanner - |
00000130  4d 42 3e 20 31 35 41 3f  3b 30 42 3d 4b 39 20 38  |MB> 15A?;0B=K9 8|
00000140  3d 41 42 40 43 3c 35 3d  42 20 41 20 3e 42 3a 40  |=AB@C<5=B A >B:@|
00000150  4b 42 4b 3c 20 38 41 45  3e 34 3d 4b 3c 20 3a 3e  |KBK< 8AE>4=K< :>|
00000160  34 3e 3c 2c 20 3a 3e 42  3e 40 4b 39 20 3f 3e 37  |4><, :>B>@K9 ?>7|
00000170  32 3e 3b 4f 35 42 20 3b  35 33 3a 3e 20 38 20 30  |2>;O5B ;53:> 8 0|
00000180  32 42 3e 3c 30 42 38 47  35 41 3a 38 20 3e 31 3d  |2B><0B8G5A:8 >1=|
00000190  30 40 43 36 38 32 30 42  4c 20 38 20 43 34 30 3b  |0@C6820BL 8 C40;|
000001a0  4f 42 4c 20 32 40 35 34  3e 3d 3e 41 3d 4b 39 20  |OBL 2@54>=>A=K9 |
000001b0  3a 3e 34 20 3d 30 20 32  35 31 41 42 40 30 3d 38  |:>4 =0 251AB@0=8|
000001c0  46 30 45 20 4c 69 6e 75  78 2d 41 35 40 32 35 40  |F0E Linux-A5@25@|
000001d0  30 2e 20 20 69 53 63 61  6e 6e 65 72 20 40 30 37  |0.  iScanner @07|
000001e0  40 30 31 3e 42 30 3d 20  69 53 65 63 75 72 31 74  |@01>B0= iSecur1t|
000001f0  79 20 3d 30 20 4f 37 4b  3a 35 20 3f 40 3e 33 40  |y =0 O7K:5 ?@>3@|
00000200  30 3c 3c 38 40 3e 32 30  3d 38 4f 20 52 75 62 79  |0<<8@>20=8O Ruby|
00000210  2c 20 42 35 3a 43 49 30  4f 20 32 35 40 41 38 4f  |, B5:CI0O 25@A8O|
00000220  20 3f 40 3e 33 40 30 3c  3c 4b 20 30 2e 31 20 31  | ?@>3@0<<K 0.1 1|
00000230  4b 3b 30 20 32 4b 3f 43  49 35 3d 30 20 33 31 2e  |K;0 2K?CI5=0 31.|
00000240  30 31 2e 32 30 31 30 20                           |01.2010 |
00000248

???

mkfifo ()

Их стоит, имхо, казнить. По Корану изображение людей запрещено. А на их сайте их десятки!1

ubuntulover ()
Ответ на: комментарий от ubuntulover

По Корану изображение людей запрещено

Так так так, и где это написано? Ссылку на строчку аята в студию!

real_kas ()
Ответ на: По Корану изображение людей запрещено от real_kas

> Так так так, и где это написано? Ссылку на строчку аята в студию

тут ещё дело не в аятах, а в хотя бы поверхностном знании истории религий. современные мусульмане, особенно те, которые не прочь испить винца (Кавказ, Средняя Азия), могут истолковывать это как угодно :)

запрещать изображения животных и людей - это идёт ещё с прасемитских верований

в одном комментарии: «Многие мусульмане считают, что закон запрещает только отбрасывающие тень скульптурные изображения живых существ, но пророк, несомненно, осудил также и всякое изображение в живописи и рисунке.»

а аят искать мне лень, тем более на русском, а арабского не знаю

ubuntulover ()
Ответ на: комментарий от ubuntulover

запрещать изображения животных и людей - это идёт ещё с прасемитских верований

Уважаемый! Не пиши того чего не знаешь достоверно!

Нет ничего запретного в рисовании, если на картинах не изображаются обнаженные люди или что­либо выходящее за рамки приличия. Кроме того, запрещено возвеличивать картины и изображения и поклоняться им. Если эти ограничения соблюдены, то рисовать людей, животных, природу и т.п. разрешено. Ислам запрещает также ваяние статуй или скульптур живых существ. Рисовать картины с людьми, животными и т.д. разрешено, если не изображать на них то, что противоречит исламским принципам.

real_kas ()

очень интересно, надеюсь, будет развиваться.

opensuse ()
Ответ на: комментарий от ubuntulover

У вас прекрасное понимание ислама :) Их стоит, имхо, казнить. По Корану изображение людей запрещено.

Во-первых, не об Исламе идет речь. Во-вторых, не говори то что не знаешь. В-третьих, спорить не собираюсь, т.к. свое мнение по неверной цитате я высказал.

real_kas ()

> Во-первых, не об Исламе идет речь. Во-вторых, не говори то что не знаешь. В-третьих, спорить не собираюсь, т.к. свое мнение по неверной цитате я высказал.

Это ты не говори того, чего не знаешь. Я занимаюсь религиоведением и немного шарю в истории религии. Что там считают у себя на уме современные муллы, особеенно вне арабского мира - мне плевать. Во времена Мухаммеда речь шла о запрете любых изображений, без оговорок.

ubuntulover ()
Ответ на: комментарий от ubuntulover

Во времена Мухаммеда речь шла о запрете любых изображений, без оговорок.

Мы живем не во времена Мухаммада (САС)!

real_kas ()

> бесплатный инструмент с открытым исходным кодом, который позволяет легко и автоматически обнаруживать и удалять вредоносный код на вебстраницах Linux-сервера.

Ох, этоже ж grep! Тока grep лучше, он ваще подо всеми никсами работает, а эта тока под линукс. Ко второй версии додумаются grep в cron запихнуть, получится демон.

FatBastard ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.