https://opennet.ru/openforum/vsluhforumID9/6776.html На хостинговых серверах нужно сделать скрипт для проверки в *.php и *.html вредоносного кода, например iframe, javascript и других "особых меток", и выдать полный путь к подозрительному файлу.<br><br>Вот, набросал скриптик, но это частный случай.<br>[code]<br>#!/bin/bash<br><br>for filename in *.php<br>do<br>badname=`cat "$filename" &#124; grep "o65" `<br>if [ `expr $badname = 0` ]<br>then<br> ls -1 $filename<br>fi<br>done[/code]<br><br>Нужен более продвинутый скрипт или программа.<br> https://opennet.ru/openforum/vsluhforumID9/6776.html#10 Tue, 14 May 2013 14:13:44 GMT &gt;[оверквотинг удален]<br>&gt; * собственно сигнатуры (обычно просто строки или регекспы) <br>&gt; * возможность обфускации скрипта (хотя бы самыми распространёнными методами) <br>&gt; * некоторые общие сигнатуры (которые говорят "это очень похоже на вредоносный код") <br>&gt; * ещё что-то, что я забыл <br>&gt; И к тому же, это должно работать быстро. Время обработки среднего <br>&gt; диска в 70 Гб не должно превышать разумных пределов в часа <br>&gt; три работы. Поэтому нужно придумывать всякие оптимизации (например, на сканировать <br>&gt; файлы .jpeg -- но тогда мы оставляем дырку для вредоносных файлов... <br>&gt; так что этот вариант не подходит, но суть ясна -- сканировать <br>&gt; вообще всё нереально) <br><br>К слову об оптимизации. Надо сканировать только те файлы, которые подвергались изменению с момента прошлого сканирования. =)<br> https://opennet.ru/openforum/vsluhforumID9/6776.html#9 Sat, 22 Sep 2007 23:31:51 GMT &gt;Давайте не будем плодить антивирусов на хостинговых серверах. <br>&gt;Нужен быстрый скрипт для регулярного сканирования данных на поиск шеллов, javascript write <br>&gt;() и iframe. <br><br>Если полученным скриптом для сканирования будет пользоваться достаточное количество админов -- уже через месяц этот write() будут внедрять только завуалировано -- и средствами javascript, и php.<br><br>А вот шеллы *уже* шифруют. Я пактически не встерчаю у себя шеллов в чистом виде. И имена файлам нормальные дают, такие что на первый взгляд не скажешь -- это часть сайта или следы взлома.<br><br>Ещё есть спамилки. Их прячут как могут с незапамятных времен: это были и разного рода демоны на перле, и шифрованные, и кодированные, и скрипты, внедрённые в корневой index.php.<br><br>Не знаю конкретно вашей ситуации, но я с простыми ситуациями сталкиваюсь всё реже, и уже сейчас понимаю, что если под всё это написать регекспы -- просмотр диска среднего размера не завершится даже за сутки. Нужны более заточенные решения.<br> https://opennet.ru/openforum/vsluhforumID9/6776.html#8 Sat, 22 Sep 2007 21:24:51 GMT <br>&gt;[оверквотинг удален]<br>&gt;в достаточном количестве (благодаря дырявым скриптам клиентов). Главная задача состоит <br>&gt;как раз-таки в написании "движка", который будет производить поиск в файлах, <br>&gt;и работать достаточно быстро. Обычные регулярные выражения являются недостаточно быстрыми <br>&gt;для построения единичных сигнатур. Хотя если ситоить сигнатуру общую для <br>&gt;целого класса возможных вредоносных скриптов, то регулярные выражения подходят. <br>&gt;<br>&gt;Я уже думал создать собственные сигнатуры для clamav, но не нашел как. <br>&gt; В этой ситуации нас ведь не интересуют все Windows PE <br>&gt;вирусы, поэтому стандартные сингатуры можно было бы отключить. Кстати, clamav <br>&gt;уже знает некоторые "популярные" скрипты-веб-шеллы. <br><br>Давайте не будем плодить антивирусов на хостинговых серверах.<br>Нужен быстрый скрипт для регулярного сканирования данных на поиск шеллов, javascript write () и iframe.<br> https://opennet.ru/openforum/vsluhforumID9/6776.html#7 Sat, 22 Sep 2007 20:56:53 GMT &gt;&gt;Занимаюсь тем же (уже есть рабочие скрипты), если есть какие-то идеи или <br>&gt;&gt;сами вредоносные скрипты (для построения сигнатур) -- прошу в ICQ 260635448 <br>&gt;<br>&gt;Возможно, эта ссылка будет вам полезна: http://www.ossec.net/wiki/index.php/WebAttacks_links <br>&gt;<br>&gt;Также, советую посмотреть в сторону этого OSSEC, он, как понимаю, такое тоже <br>&gt;умеет. <br><br>Да, спасибо. Но это "добро" и так оседает на моих серверах в достаточном количестве (благодаря дырявым скриптам клиентов). Главная задача состоит как раз-таки в написании "движка", который будет производить поиск в файлах, и работать достаточно быстро. Обычные регулярные выражения являются недостаточно быстрыми для построения единичных сигнатур. Хотя если ситоить сигнатуру общую для целого класса возможных вредоносных скриптов, то регулярные выражения подходят.<br><br>Я уже думал создать собственные сигнатуры для clamav, но не нашел как. В этой ситуации нас ведь не интересуют все Windows PE вирусы, поэтому стандартные сингатуры можно было бы отключить. Кстати, cla https://opennet.ru/openforum/vsluhforumID9/6776.html#6 Sat, 22 Sep 2007 19:48:30 GMT &gt;Занимаюсь тем же (уже есть рабочие скрипты), если есть какие-то идеи или <br>&gt;сами вредоносные скрипты (для построения сигнатур) -- прошу в ICQ 260635448 <br><br>Возможно, эта ссылка будет вам полезна: http://www.ossec.net/wiki/index.php/WebAttacks_links<br><br>Также, советую посмотреть в сторону этого OSSEC, он, как понимаю, такое тоже умеет.<br> https://opennet.ru/openforum/vsluhforumID9/6776.html#5 Fri, 21 Sep 2007 17:02:52 GMT Имеем:<br><br>* поиск шеллов - поиск файлов rst.php, gzr.php и php.php (последний файл часто используют боты для мамбы и для phpinfo(), которые мы игнорируем)<br>* поиск кода, в основном в файлах index.php и index.html, &lt;!-- o65 --&gt; &lt;script type="text/javascript"&gt;document.write('код скрипта')&lt;/script&gt;&lt;!-- o65 --&gt;<br>* поиск кода iframe<br> https://opennet.ru/openforum/vsluhforumID9/6776.html#4 Fri, 21 Sep 2007 13:11:29 GMT &gt;Что именно ищется, какая структура сигнатур?. В простейшем случае, когда нужно искать <br>&gt;набор "слов" достаточно однострочника на перл <br><br>Вообще задача довольно сложная и фактически является написанием некоторого рода антивируса, который учитывает много параметров:<br>* размер файла<br>* собственно сигнатуры (обычно просто строки или регекспы)<br>* возможность обфускации скрипта (хотя бы самыми распространёнными методами)<br>* некоторые общие сигнатуры (которые говорят "это очень похоже на вредоносный код")<br>* ещё что-то, что я забыл<br><br>И к тому же, это должно работать быстро. Время обработки среднего диска в 70 Гб не должно превышать разумных пределов в часа три работы. Поэтому нужно придумывать всякие оптимизации (например, на сканировать файлы .jpeg -- но тогда мы оставляем дырку для вредоносных файлов... так что этот вариант не подходит, но суть ясна -- сканировать вообще всё нереально)<br> https://opennet.ru/openforum/vsluhforumID9/6776.html#3 Fri, 21 Sep 2007 12:29:10 GMT Что именно ищется, какая структура сигнатур?. В простейшем случае, когда нужно искать набор "слов" достаточно однострочника на перл<br> https://opennet.ru/openforum/vsluhforumID9/6776.html#2 Fri, 21 Sep 2007 10:12:00 GMT &gt;На хостинговых серверах нужно сделать скрипт для проверки в *.php и *.html <br>&gt;вредоносного кода, например iframe, javascript и других "особых меток", и выдать <br>&gt;полный путь к подозрительному файлу. <br><br>Занимаюсь тем же (уже есть рабочие скрипты), если есть какие-то идеи или сами вредоносные скрипты (для построения сигнатур) -- прошу в ICQ 260635448<br>