LINUX.ORG.RU

Выход iScanner 0.1 - сканера для обнаружения и удаления вредоносного кода с вебстраниц

 , web-сканер,


0

0

iSecur1ty анонсировала первую версию iScanner 0.1. iScanner - это бесплатный инструмент с открытым исходным кодом, который позволяет легко и автоматически обнаруживать и удалять вредоносный код на вебстраницах Linux-сервера.

iScanner разработан iSecur1ty на языке программирования Ruby, текущая версия программы 0.1 была выпущена 31.01.2010 под лицензией GNU Affero General Public License 3.0.

Функции iScanner:

  • Обнаружение вредоносного кода на вебстраницах, который может находиться в спрятанных iframe тегах, javascript, vbscript и activex объектах.
  • Расширенный лог показывающий инфицированные файлы и вредоносный код
  • Возможность автоматической очистки инфицированных вебстраниц
  • Простая и редактируемая база данных сигнатур
  • Включенная система обновления, которая позволяет легко обновлять программу и базу данных
  • Очень гибкие опции и легкость в использовании
  • Быстрый сканер с хорошей производительностью
  • Полностью бесплатен

Получить iScanner 0.1 можно здесь.

>>> Официальный сайт проекта

iScanner is free open source tool lets you detect and remove malicious codes and web pages viruses from your Linux/Unix server easly and automatically.

This tool is programmed by iSecur1ty using Ruby programming language, the current version of iScanner is «0.1» released on (31-Jan-2010) under the terms of GNU Affero General Public License 3.0.

iScanner, easly, iSecur1ty Ruby

Какой противоречивый образ складывается

И главное - СОРЦОВ НА САЙТЕ НЕТ!

Настоятельно прошу не подтверждать, если не хочется массовой забавы в виде травли автора с дизассемблерами наперевес.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Цитируем t184256

Настоятельно прошу не подтверждать, если не хочется массовой забавы в виде травли автора с дизассемблерами наперевес.

И тут же оперативненько: Проверено: anonymous_incognito

Ждем пробуждения троллей, запасаем попкорн.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

> И главное - СОРЦОВ НА САЙТЕ НЕТ!

А там что-то откомпилировано или скрипт обфусцирован?

Честно говоря, эта вещь пока не производит особого впечатление, но при своём развитии может стать достаточно полезной для хостеров.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Ох черт, как я мощно прогнал. Есть там сорцы, есть, аж 271 строка.

Краткий пересказ на русском псевдокоде:

#!shebang
#copyright

class ЕдинственныйКласс:
 def initialize:
  всякий getopt
 def banner:
  print опять_всякий_копирайт
 def parse
  getopt возвращается
 def run:
  попечатать
  потупить
  попечатать
  файл.каждый делать файл
   scan(файл)
   если заражено и размер файла больше нуля
    насрать в логи
    файл_почистить
 def scan(файл):
  строчка_базы_данных.каждая делать запись:
   какой-то хак про многострочные регекспы??
   если регексп.удовлетворять(файл.контент)
    плохой файл
 def update:
  пойти скачать апдейт

ЕдинственныйКласс.run
t184256 ★★★★★
()

База вирусов:

--- 
- version: 0.1.0
- date: 31/01/2010
- copyright: iSecur1ty <http://www.isecur1ty.org>
- - 1.0
  - <iframe.*?hidden.*?>.*?<\/iframe>
  - Hidden iframe tag detected.
  - MU
- - 1.1
  - <iframe.*?hidden.*?>
  - Hidden iframe tag detected.
  - LN
- - 2.0
  - <script.*?unescape.*?(%u0|%uc|%u8|%u5).*?<\/script>
  - Function 'unescape' detected, possible javascript shellcode.
  - MU
- - 3.0
  - <object.*?classid.*?target.*?<\/object>
  - ActiveX object detected, possible malicious code to exploit IE vulnerabilities.
  - MU
- - 3.1
  - <script.*?vbscript.*?<\/script>
  - vbscript code detected, sometimes used to exploit IE vulnerabilities.
  - MU
- - 4.0
  - (LPORT=|EXITFUNC=|Encoder=)
  - Genirec metasploit shellcode signature detected (check the file).
  - LN
- - 4.1
  - shellcode
  - The word 'shellcode' detected in your source file (check the file).
  - LN
- - 5.0
  - base64_decode(\s*)\(.*?\)(\s*);
  - Function 'base64_decode' detected, possible encoded malicious code.
  - MU

Таак, в любом случае я за попкорном. Реквестирую однострочник на шелле с той же функциональностью, отряд анонимусов с говнометами наперевес, представителей Ъ-энтерпрайза с воплями «я джва года хочу такое комплексное решение по защите хостинга» и iZEN'а просто так, вместо Саныча.

t184256 ★★★★★
()
Ответ на: OMG от kir4

JESUS CHRIST IT'S ALKAЙDA GET IN THE CAR!

anonymous
()
Ответ на: OMG от kir4

(растерянный, мокрый, с полотенцем на голове и пачкой чипсов в руках) Кэп? Кэп!.. Официант! Пожалуйста, включите в мой прошлый заказ одного К. О!

t184256 ★★★★★
()

всегда поражался о том как люди парсят HTML — через регулярные выражения :-D

....что вобщемто объясняет — почему нынче не моден XHTML ( application/xhtml+xml ) . ибо regexp`ами его не запарсишь , и наверно это вызывает страх :-)

mkfifo
()
Ответ на: OMG от kir4

look at http://www.isecur1ty.org/

миленький сайт... впервые вижу симпотный арабский ресурс

real_kas
()

вывалился в осадок когда наткнулся на папку с расширением в названии

./iscanner -f /home/user/ -e htm:html:php -o infected.log

Starting iScanner 0.1 on [] at (04/02/2010 - 08:51:06)
Copyright (C) 2010 iSecur1ty <http://www.isecur1ty.org>

[*] Locating files, please wait...
[*] Scanning [419] files found. (db:0.1.0 - 31/01/2010)

/public_html/modules/main/template/d_menu.php (Errno::EISDIR)
from ./iscanner:160:in `scan'
from ./iscanner:125:in `run'
from ./iscanner:124:in `each'
from ./iscanner:124:in `run'
from ./iscanner:271

ymrs
()
Ответ на: комментарий от ymrs

а оригинальная идея кстате — отличать файл от папки в зависимости от расширения :-)

а давным давно ещё в PHP был баг с тем что если назвать папку начиная с «http:»

«http:фигня.блаблабла» (так как ":" не запрещённый символ)

-- то PHP-интерпретатор мог в ограниченном режиме (кажется через «http:фигня.блаблабла/../../..» , точно незнаю ) предоставить доступ к запрещённвм файлам :-)

mkfifo
()
Ответ на: комментарий от t184256

> Ждем пробуждения троллей, запасаем попкорн.

Тролль ждет пробуждения троллей?

Сам с собой поговорил, сам себя затроллил, сам себя послал... самозабанился бы наконец.

ZigmunD
()

судя по доменному имени авторы малолетние хацкеры, но по крайней мере знают html, что большая редкость на лоре

af5 ★★★★★
()

лоооол. и сам iscanner, и сайт айсекьюрити доставляют, утренний заряд бодрости!

в соседнем топике намного более крутой nikto, а если на руби - так в Metasploit есть подобная фигня, но естественно более-мене по-человечески реализованная.

П.С. на руби пишут только арабские школьники-террористы, настоящие пацаны пишут на common lisp!

volh ★★
()
Ответ на: OMG от kir4

При пристальном рассмотрении заметен один поразительный парадокс, коллега. С одной стороны, этот сайт очевидно делало на два школьника больше, чем предыдущий, с другой стороны, их тут постаралось раза в 3 больше! Ваше мнение, коллега?

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Блин оказывается я невнимательно прочитал. Ни какой это
ни icap походу.

обнаруживать и удалять вредоносный код на вебстраницах Linux-сервера.

Оно как то может ломать веб сервера .... хм круто !

mx_
()
Ответ на: комментарий от ZigmunD

Я не настоящий боевой тролль, я моська-школоло. Тогда уж если я тролль, то ТС - троллина, а anonymous_incognito - троллищща.

t184256 ★★★★★
()
Ответ на: комментарий от mx_

Оно как то может ломать веб сервера .... хм круто !

почему бы и нет, если получен доступ к превилигированному пользователю

real_kas
()

Я понял! Сабж - зачаток долгожданной server-side реализации популярного в народе NoScript!

t184256 ★★★★★
()
Ответ на: комментарий от Amazing

что там приятного? обычная joomla и наверно с ворованным шаблоном

пофиг какой шаблон, главное приятный

real_kas
()

серьёзное такое поделие.

RedPossum ★★★★★
()
Ответ на: комментарий от darkden

Тред почитай. сбило с толку отсутствие .rb

Так и быть, перед тобой отдельно извинюсь: извини, darkden, за наглое 4.2, смутило меня расширения отсутствие, а file быстренько натравить мозга не догадалась. Прощаешь?

t184256 ★★★★★
()

Функции iScanner: # Полностью бесплатен

anonymous
()
Ответ на: комментарий от anonymous_incognito

На питоне? Для хостеров? _ЭТО_:? Нееее... добавлять еще головняка - ето гон :) Вот если бы грамотно и на С, тогда было бы интерестно, а так....

Jetty ★★★★★
()

Я попытался войти в админку а она мне ответила :

Bad Request

Your browser sent a request that this server could not understand. Size of a request header field exceeds server limit.

Authorization: Basic OTk5OTlGQzogTGludXgub3JnLnJ1ICAJICA1MzhBQkAwRjhPIC0gEkU+NCAYPE86IB8wQD47TDogHT4yPkFCOCAtIBMwOzVANU8gLSAkPkBDPCAtICJANTo1QCAtIFdpa2kgLSAfPjhBOiAdPjI+QUI4IC0gU2VjdXJpdHkgCSAgICAgICogW1JTU10gICAgICogIFsjXSAgIBJLRT40IGlTY2FubmVyIDAuMSAtIEE6MD01QDAgNDtPID4xPTBAQzY1PThPIDggQzQwOzU9OE8gMkA1ND49PkE9PjM+IDo+NDAgQSAyNTFBQkAwPThGICBpU2VjdXIxdHkgMD0+PUE4QD4yMDswID81QDJDTiAyNUBBOE4gaVNjYW5uZXIgMC4xLiBpU2Nhbm5lciAtIE1CPiAxNUE/OzBCPUs5IDg9QUJAQzw1PUIgQSA+QjpAS0JLPCA4QUU+ND1LPCA6PjQ+PCwgOj5CPkBLOSA/PjcyPjtPNUIgOzUzOj4gOCAwMkI+PDBCOEc1QTo4ID4xPTBAQzY4MjBCTCA4IEM0MDtPQkwgMkA1ND49PkE9SzkgOj40ID0wIDI1MUFCQDA9OEYwRSBMaW51eC1BNUAyNUAwLiAgaVNjYW5uZXIgQDA3QDAxPkIwPSBpU2VjdXIxdHkgPTAgTzdLOjUgP0A+M0AwPDw4QD4yMD04TyBSdWJ5LCBCNTpDSTBPIDI1QEE4TyA/QD4zQDA8PEsgMC4xIDFLOzAgMks/Q0k1PTAgMzEuMDEuMjAxMCA

...

anonymous
()
Ответ на: комментарий от anonymous

а что значит этот самый --

00000000  39 39 39 39 39 46 43 3a  20 4c 69 6e 75 78 2e 6f  |99999FC: Linux.o|
00000010  72 67 2e 72 75 20 20 09  20 20 35 33 38 41 42 40  |rg.ru  .  538AB@|
00000020  30 46 38 4f 20 2d 20 12  45 3e 34 20 18 3c 4f 3a  |0F8O - .E>4 .<O:|
00000030  20 1f 30 40 3e 3b 4c 3a  20 1d 3e 32 3e 41 42 38  | .0@>;L: .>2>AB8|
00000040  20 2d 20 13 30 3b 35 40  35 4f 20 2d 20 24 3e 40  | - .0;5@5O - $>@|
00000050  43 3c 20 2d 20 22 40 35  3a 35 40 20 2d 20 57 69  |C< - "@5:5@ - Wi|
00000060  6b 69 20 2d 20 1f 3e 38  41 3a 20 1d 3e 32 3e 41  |ki - .>8A: .>2>A|
00000070  42 38 20 2d 20 53 65 63  75 72 69 74 79 20 09 20  |B8 - Security . |
00000080  20 20 20 20 20 2a 20 5b  52 53 53 5d 20 20 20 20  |     * [RSS]    |
00000090  20 2a 20 20 5b 23 5d 20  20 20 12 4b 45 3e 34 20  | *  [#]   .KE>4 |
000000a0  69 53 63 61 6e 6e 65 72  20 30 2e 31 20 2d 20 41  |iScanner 0.1 - A|
000000b0  3a 30 3d 35 40 30 20 34  3b 4f 20 3e 31 3d 30 40  |:0=5@0 4;O >1=0@|
000000c0  43 36 35 3d 38 4f 20 38  20 43 34 30 3b 35 3d 38  |C65=8O 8 C40;5=8|
000000d0  4f 20 32 40 35 34 3e 3d  3e 41 3d 3e 33 3e 20 3a  |O 2@54>=>A=>3> :|
000000e0  3e 34 30 20 41 20 32 35  31 41 42 40 30 3d 38 46  |>40 A 251AB@0=8F|
000000f0  20 20 69 53 65 63 75 72  31 74 79 20 30 3d 3e 3d  |  iSecur1ty 0=>=|
00000100  41 38 40 3e 32 30 3b 30  20 3f 35 40 32 43 4e 20  |A8@>20;0 ?5@2CN |
00000110  32 35 40 41 38 4e 20 69  53 63 61 6e 6e 65 72 20  |25@A8N iScanner |
00000120  30 2e 31 2e 20 69 53 63  61 6e 6e 65 72 20 2d 20  |0.1. iScanner - |
00000130  4d 42 3e 20 31 35 41 3f  3b 30 42 3d 4b 39 20 38  |MB> 15A?;0B=K9 8|
00000140  3d 41 42 40 43 3c 35 3d  42 20 41 20 3e 42 3a 40  |=AB@C<5=B A >B:@|
00000150  4b 42 4b 3c 20 38 41 45  3e 34 3d 4b 3c 20 3a 3e  |KBK< 8AE>4=K< :>|
00000160  34 3e 3c 2c 20 3a 3e 42  3e 40 4b 39 20 3f 3e 37  |4><, :>B>@K9 ?>7|
00000170  32 3e 3b 4f 35 42 20 3b  35 33 3a 3e 20 38 20 30  |2>;O5B ;53:> 8 0|
00000180  32 42 3e 3c 30 42 38 47  35 41 3a 38 20 3e 31 3d  |2B><0B8G5A:8 >1=|
00000190  30 40 43 36 38 32 30 42  4c 20 38 20 43 34 30 3b  |0@C6820BL 8 C40;|
000001a0  4f 42 4c 20 32 40 35 34  3e 3d 3e 41 3d 4b 39 20  |OBL 2@54>=>A=K9 |
000001b0  3a 3e 34 20 3d 30 20 32  35 31 41 42 40 30 3d 38  |:>4 =0 251AB@0=8|
000001c0  46 30 45 20 4c 69 6e 75  78 2d 41 35 40 32 35 40  |F0E Linux-A5@25@|
000001d0  30 2e 20 20 69 53 63 61  6e 6e 65 72 20 40 30 37  |0.  iScanner @07|
000001e0  40 30 31 3e 42 30 3d 20  69 53 65 63 75 72 31 74  |@01>B0= iSecur1t|
000001f0  79 20 3d 30 20 4f 37 4b  3a 35 20 3f 40 3e 33 40  |y =0 O7K:5 ?@>3@|
00000200  30 3c 3c 38 40 3e 32 30  3d 38 4f 20 52 75 62 79  |0<<8@>20=8O Ruby|
00000210  2c 20 42 35 3a 43 49 30  4f 20 32 35 40 41 38 4f  |, B5:CI0O 25@A8O|
00000220  20 3f 40 3e 33 40 30 3c  3c 4b 20 30 2e 31 20 31  | ?@>3@0<<K 0.1 1|
00000230  4b 3b 30 20 32 4b 3f 43  49 35 3d 30 20 33 31 2e  |K;0 2K?CI5=0 31.|
00000240  30 31 2e 32 30 31 30 20                           |01.2010 |
00000248

???

mkfifo
()
Ответ на: комментарий от t184256

Сорцов чего? Написано же - язык программирования ruby.

bigfrogg
()
Ответ на: По Корану изображение людей запрещено от real_kas

> Так так так, и где это написано? Ссылку на строчку аята в студию

тут ещё дело не в аятах, а в хотя бы поверхностном знании истории религий. современные мусульмане, особенно те, которые не прочь испить винца (Кавказ, Средняя Азия), могут истолковывать это как угодно :)

запрещать изображения животных и людей - это идёт ещё с прасемитских верований

в одном комментарии: «Многие мусульмане считают, что закон запрещает только отбрасывающие тень скульптурные изображения живых существ, но пророк, несомненно, осудил также и всякое изображение в живописи и рисунке.»

а аят искать мне лень, тем более на русском, а арабского не знаю

ubuntulover
()
Ответ на: комментарий от ubuntulover

запрещать изображения животных и людей - это идёт ещё с прасемитских верований

Уважаемый! Не пиши того чего не знаешь достоверно!

Нет ничего запретного в рисовании, если на картинах не изображаются обнаженные люди или что­либо выходящее за рамки приличия. Кроме того, запрещено возвеличивать картины и изображения и поклоняться им. Если эти ограничения соблюдены, то рисовать людей, животных, природу и т.п. разрешено. Ислам запрещает также ваяние статуй или скульптур живых существ. Рисовать картины с людьми, животными и т.д. разрешено, если не изображать на них то, что противоречит исламским принципам.

real_kas
()

очень интересно, надеюсь, будет развиваться.

opensuse
()
Ответ на: комментарий от ubuntulover

У вас прекрасное понимание ислама :) Их стоит, имхо, казнить. По Корану изображение людей запрещено.

Во-первых, не об Исламе идет речь. Во-вторых, не говори то что не знаешь. В-третьих, спорить не собираюсь, т.к. свое мнение по неверной цитате я высказал.

real_kas
()

> Во-первых, не об Исламе идет речь. Во-вторых, не говори то что не знаешь. В-третьих, спорить не собираюсь, т.к. свое мнение по неверной цитате я высказал.

Это ты не говори того, чего не знаешь. Я занимаюсь религиоведением и немного шарю в истории религии. Что там считают у себя на уме современные муллы, особеенно вне арабского мира - мне плевать. Во времена Мухаммеда речь шла о запрете любых изображений, без оговорок.

ubuntulover
()
Ответ на: комментарий от ubuntulover

Во времена Мухаммеда речь шла о запрете любых изображений, без оговорок.

Мы живем не во времена Мухаммада (САС)!

real_kas
()

> бесплатный инструмент с открытым исходным кодом, который позволяет легко и автоматически обнаруживать и удалять вредоносный код на вебстраницах Linux-сервера.

Ох, этоже ж grep! Тока grep лучше, он ваще подо всеми никсами работает, а эта тока под линукс. Ко второй версии додумаются grep в cron запихнуть, получится демон.

FatBastard ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.