Шеллы

1. Вадим (19.09.2010 / 20:35)
Привет всем. Может ли кто-то мне помочь и удалить все шеллы в соцке. Я дам в приват соцку. К сожалению бесплатно, так как деньги все на написание мода отдал )

2. delete (19.09.2010 / 20:58)
для начала просто по открывай все файлы, часто мошенники особо не мудрят и оставляют авторские копирайты и комментарии авторов шеллов ну и еще смотри в код, если видиш что местами код состоит из набора непонятных символов, это скорее всего кусочек кода, который подвергли шифрованию что бы спрятать шелл, еще надо разбираться в функциях, например функция system, eval и т.д из этой серии, в принципе не дожны быть в движке, их оставили злоумышленики, для своих черных дел)) и еще вообще надо смотреть, если постороние функции в коде, например файл новостей а там функции для чтения текстовых файлов, работы с директориями и т.д тож лозейки от хакеров.

3. Вадим (19.09.2010 / 21:04)

ZiGR DeTeCTeD (19 Сентября 2010 / 20:53)
1. Давай я поисчу.

Выслал в личку

4. Вадим (19.09.2010 / 21:05)

Денис Петрович (19 Сентября 2010 / 20:58)
для начала просто по открывай все файлы, часто мошенники особо не мудрят и оставляют авторские копирайты и комментарии авторов шеллов ну и еще смотри в код, если видиш что местами код состоит из набора непонятных символов, это скорее всего кусочек кода, который подвергли шифрованию что бы спрятать шелл, еще надо разбираться в функциях, например функция system, eval и т.д из этой серии, в принципе не дожны быть в движке, их оставили злоумышленики, для своих черных дел)) и еще вообще надо смотреть, если постороние функции в коде, например файл новостей а там функции для чтения текстовых файлов, работы с директориями и т.д тож лозейки от хакеров.

Спасибо за информацию, там страниц уйма) Я буду каждую проверять наверно по 5 минут )))

5. Владимир (19.09.2010 / 21:06)
если у тебя есть ssh-доступ к серверу и на сервере установлен ruby, то можешь скачать iscanner и просканить им скрипты

6. Вадим (19.09.2010 / 21:35)

fmm_Nervous_есть чо7 (19 Сентября 2010 / 21:06)
если у тебя есть ssh-доступ к серверу и на сервере установлен ruby, то можешь скачать iscanner и просканить им скрипты

Пока работа над двигом. Еще хоста нет даже )

7. Neformat (19.09.2010 / 22:02)
необязательно шелл в чистом виде, возможно закодирован или эксплойт для заливки шела

8. delete (20.09.2010 / 02:34)

Neformat (19 Сентября 2010 / 22:02)
необязательно шелл в чистом виде, возможно закодирован или эксплойт для заливки шела

дак вот же)) иногда и опытный человек не сможит заметить особенно когда много кода, там мало просматривать, надо уметь читать php сценарий, и уже по ходу чтения находить дыры, ну и спрятаные бекдоры и шелл

p.s один раз где то скачал архив, скрипт простейший, неск.файлов и то, смотрю в дизайне скрипта лежит php файл, открыл а там шелл от делорана

9. ктулху (20.09.2010 / 12:49)
в SSH это делается несколькими командами:
grep -R 'shell' ./*
grep -R 'exec' ./*
grep -R 'eval' ./*
Выдаст файлы содержащие слова shell, exec, eval, ну и надо просмотреть файлы

10. delete (20.09.2010 / 14:31)
10. ShiftBHT_есть_чо7, увы этот протакол есть не у всех, прейдется по старинке, ручками..

11. Neformat (20.09.2010 / 14:45)
Да и толку от этого. Бэкдор можно сунуть без всех shell, exec, eval и тд

12. Николай (20.09.2010 / 15:09)

Neformat (20 Сентября 2010 / 16:45)
Да и толку от этого. Бэкдор можно сунуть без всех shell, exec, eval и тд

Ну так вопрос изначально состоял в поиске шеллов. Ему подсказали как.

13. valakas (20.09.2010 / 15:38)

ShiftBHT_есть_чо7 (20 Сентября 2010 / 12:49)
в SSH это делается несколькими командами:
grep -R 'shell' ./*
grep -R 'exec' ./*
grep -R 'eval' ./*
Выдаст файлы содержащие слова shell, exec, eval, ну и надо просмотреть файлы

спасибо за команду запишу к себе в блокнотик..на сколько я понял то после ./* писать абсолютный путь к каталогу который хочеш проверить на наличие евал сюстем ексек?

14. ктулху (20.09.2010 / 17:03)
./ - текущая папка (можно заменить на полный путь)
* - все что там находится

15. delete (20.09.2010 / 17:28)

Tidus (20 Сентября 2010 / 14:43)
11, сотни файлов ручками? Гы

если у человека только телефон и обычный хостинг, то да руками, а что делать есть вариант взять скрип сканер (он по маске ищет нужные нам участки кода), но тоже не вариант, это процесс займет больше чем 30 сек, на обычном хосте уже не запустиш.. но если мало файлов то можно (хостер надеюсь не заругает).

16. delete (20.09.2010 / 17:31)
15. heyhey, какой же ты Сириус хацкер, когда таких основ не знаешь

p.s Тидус тебя переоценил, и как заметил оч.сильно))

17. delete (20.09.2010 / 17:37)

Neformat (20 Сентября 2010 / 14:45)
Да и толку от этого. Бэкдор можно сунуть без всех shell, exec, eval и тд

он же о шелле спрашивал, а его реализовать всего одной функцией можно, но можно инклудить шелл, оставить дырочку для php инклуда. Тут же еще беда в том что пока пользователь скачает скрипт, он проходит по рукам, в итоге N количество дырочек образуется, и разных пакостей от малолетних хацкеров))) но все притензии почему то к автору скрипта, я так считаю если скрипт скачан не с оф.сайта автора, то тупо его в чем то упрекать, даже если часть ошибок в коде от него.

18. Вадим (20.09.2010 / 19:30)
Читаю все сообщения и думаю вопрос был все го лишь помочь удалить шеллы

19. delete (20.09.2010 / 20:02)
21. Tidus, то что ты написал в начале поста, не на всех хостингах будит работать так то можно было бы расширять время лемита.

20. valakas (20.09.2010 / 21:33)

Денис Петрович (20 Сентября 2010 / 17:31)
15. heyhey, какой же ты Сириус хацкер, когда таких основ не знаешь

p.s Тидус тебя переоценил, и как заметил оч.сильно))

иди умойся петрович ))))
Не все же мне команды знать)

21. Владимир (20.09.2010 / 22:07)
24, такую банальщину как grep стыдно не знать

22. delete (20.09.2010 / 22:53)
23. Tidus, Артем, функции php я и сам знаю, ненадо мне примеры)) просто там где я пробовал был запрет, про другие хостинги не знаю, если работает то и супер, лимита 30 сек мне с головой хватает, зачем извращатся над настройками.

23. delete (20.09.2010 / 22:53)
/* дубль */

24. delete (20.09.2010 / 22:59)

fmm_Nervous_есть чо7 (20 Сентября 2010 / 22:07)
24, такую банальщину как grep стыдно не знать

Сириус он и есть Сириус а еще хостинг держал)))

25. delete (20.09.2010 / 23:05)
25. Tidus, например юзал менеджер от гемороя, там при импорте можно было указывать свой лемит, сервер ругался. стоял mpm-itk, другое дело мож хостер там сам чего учудил, тогда ладно, согласен с тобой.

26. delete (20.09.2010 / 23:12)
на другом хостинге затестил ini_set('max_execution_time',3600); и действительно, не ругается

27. ramzes (21.09.2010 / 08:46)
две функции юзаю.
поиск новых файлов на хосте, и проверка содержимого найденных файлов.
в приципе запуск раз в неделю позволяет знать все изменения на хосте, при чем тогда уже можно искать по <? ?>, $_(SERVER|GET|POST|REQUEST|SESSION|COOKIE) и прочему, свои новые пхп скрипты за неделю трудно забыть.
10-15сек на 6гиговый акк

28. valakas (21.09.2010 / 10:23)

Денис Петрович (20 Сентября 2010 / 23:12)
на другом хостинге затестил ini_set('max_execution_time',3600); и действительно, не ругается

молодец,теперь можеш ложиться спать малыш) лолол

29. delete (21.09.2010 / 12:36)

heyhey (21 Сентября 2010 / 10:23)
молодец,теперь можеш ложиться спать малыш) лолол

а тебя в школе не учили что когда старшие о чем то говорят, в такие разговоры лутше не лезть ну я понимаю тебе неприятно что ты клоун а хотелось бы показаться ктулху))) но кроме тебя самого в этом ни кто не виноват

30. delete (21.09.2010 / 12:51)
32. ramzes, а каков обьем кода? это ведь 6 гигов диска у тебя, но не 6 гигов машинного кода

31. valakas (21.09.2010 / 13:34)
никем я нехочу показаться...я такой какой есть,в школе учили но придерживаться того чего я несчитаю нужным несобираюсь.
ушел с темы

URL: https://visavi.net/topics/13852