Удаление всякой гадости из скрипта

PSC1410

Постоялец
Регистрация
10 Авг 2008
Сообщения
66
Реакции
12
Уважаемые, подскажите как находить всякую гадость в нуленых и фришных скриптах.
Поиск ссылок, это понятно, а вот более хитрые штуки - стучалки, шелы и т.д.
Читал на форуме, ставь на денвер и смотри логи, а что там смотреть?
Прошу совета, может найдется человек который научит или покажет алгоритм какой-то.
Знание рнр минимальное.

Если запостил не в том разделе, прошу перенести в соответствующий.
 
например смотреть логи сервера и/или брандмауэра - на какие внешние ресурсы скрипт стучится..
 
Для просмотра ссылки Войди или Зарегистрируйся в помощь, внимательно смотри то, что он тебе подскажет. Обращай внимание на конструкции base64_decode (рекурсивный поиск), а также на список шеллов, которые выдаст скрипт, кроме этого поищи все открытые ссылки на твоем скрипте. Также нужно проверить базу скрипта, бывают хитрые варианты хранения последовательностей под разные цмс. В общем штука геморная, сам обычно маюсь, когда просят, чищу 3-4 часа (если сильно засрано). Кроме этого нужно проверить разного рода вхождения на загрузку файлов ($_FILES) , изменение файлов (если добавляют доп. код), и проверить содержимое файлов .htaccess (там иногда встречаются редиректы, или добавочные строчки на выполнение php не в php файлах). Поищи внешние картинки, и адреса (вычисли с копирайтов) рекурсивным поиском по js. Некоторые "нуленые" скрипты могут содержать закодированные файлы через zend, и т.п., но это уже другая история. Есть еще одна хитрость, если вычислишь шелл, смотри на дату его добавления, а потом отсей в +/- 2-3 дня к этому файлы, у которых будет дата изменения равна дате добавления шелла, открывай и смотри эти файлы внимательно. Могут быть "обходы" авторизации (встречал, но редко, когда через доп параметры инициализируется сессия админа цмс, но это реже). Кроме этого могут быть разные включения в js. Также ищи еще <iframe,<a это уже реже, но все еще встречается. Но помни, ты должен знать хорошо скрипт, с которым работает. Также поставь сниффер пакетов, и побегай по ссылкам скрипта, если что осталось, сниффер поймает и покажет, а без сниффера можно воспользоваться в твоем случае инструментами вэб мастера в гугл хроме. Там есть онлайн просмотр, куда идут запросы со страниц. Учти еще одно: многие "авторы" предусматривают выполнение скрипта на localhost без стучалок, а потом вредоносный код активизируется непосредственно на сайте. Поэтому ищем рекурсивно по файлам localhost, если находим, смотрим код, заключенный внутри. Если там что-то странное... Спрашиваем-) Советуемся-)
 
Последнее редактирование:
например смотреть логи сервера и/или брандмауэра - на какие внешние ресурсы скрипт стучится..
По брандмауэру понятно, а в логах открытая ссылка будет?
 
По брандмауэру понятно, а в логах открытая ссылка будет?
Google Chrome - кнопка справа у адресной строки в виде списка - Инструменты - Инструменты Разработчика - Network - бегай по страничкам, и смотри, чтобы не было загрузки внешних ссылок или какой то внешней лабуды. Но в 90% случаях прячут или при помощи css ссылки, или кодируют при помощи base64_decode шеллы, обычно дальше они не уходят, это все ищется рекурсивным поиском по файлам. Дальше вычищаешь дрянь. Перечитай выше, я обновил пост. Из снифферов я для себя использую сниффер пакетов EffeTech HTTP Sniffer.
 
Последнее редактирование:
Black#FFFFFF спасибо, схема поиска понятна, будут вопросы обязательно обращусь.Для просмотра ссылки Войди или Зарегистрируйся
 
а сам айболит никуда ничего не сливает?
Для полного успокоения можно скачать сайт на домашний компьютер, установить vertrigo, отключиться от интернета, проверить сайт, удалить айболит. На рабочих сайтах айболит оставлять не советую. Просто нормальная параноя.
 
Назад
Сверху