The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Пример поиска подозрительных php-фа..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Пример поиска подозрительных php-фа..."  +/
Сообщение от auto_tips (ok) on 27-Май-15, 07:41 
Некоторые вирусные php-файлы содержат очень длинные строки в коде. Такие файлы можно поискать однострочником:

   find ./ -name "*.php" -print0 |  wc -L --files0-from=- | sort -V | grep -E "^[0-9]{5,}+ \./"

найденные файлы можно просмотреть визуально или проверить чем-то еще.

URL:
Обсуждается: http://www.opennet.dev/tips/info/2908.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от Адекват (ok) on 27-Май-15, 07:41 
| xargs rm -rf
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  –1 +/
Сообщение от Коля on 31-Май-15, 00:23 
Ага, ага. Рекурсивность применять к единичным файлам. Молодец
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от Аноним (??) on 27-Май-15, 10:39 
А как насчет чего-нибудь типа
find ./ -name "*.php" -exec grep 'eval.*base64_decode' '{}' \+
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от Аноним (??) on 27-Май-15, 10:39 
grep -l конечно
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от Xasd (ok) on 29-Май-15, 13:33 
в PHP кстати огромное количество функций которые делают eval ..

например, preg_replace ..

не говоря уже о том что можно сделать:

$a = 'pre';
$b = 'g_replace';
$c = $a.$b;
$c(...);

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от 100RAGE1 on 27-Май-15, 13:07 
Поиск eval.*base64_decode и других масок мы реализовали в антивирусе, но он не влез в одну строку кода, как в примере =)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от aaaaaaa on 30-Май-15, 15:19 
таки поделитесь, будте любезы...
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от 100RAGE1 on 27-Май-15, 13:14 
Кстати можно одним grep-ом:
grep -Ri -lsE --include="*.php" "eval.*base64_decode|^GIF89|Web Shell by|r57shell|c99 inj|default_action=.*FilesMan" ./
и так далее добавляем маски
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от stalker37 email on 27-Май-15, 23:47 
ещё часто ловится вот такое вот:
if (!$ind78f5022f) { $ind78f5022f = TRUE;assert("e"."v"."a"."l(b"."a"."s"."e"."6"."4_d"."e"."c"."o"."d"."e('ICR........
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от Аноним (??) on 02-Июн-15, 07:22 
Таких видов файлов достаточно много, у нас список шаблонов в текстовом файле. Также есть класс шаблонов, в которых учтено, что название переменной или функции может изменяться.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от vitalif email(ok) on 04-Июн-15, 15:51 
Есть вот такая штука, https://github.com/emposha/PHP-Shell-Detector
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от George (??) on 08-Июн-15, 13:47 
Давно не обновлялось.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от Олег email(??) on 07-Окт-15, 12:09 
Два дня назад, от 2015.10.07. Это слишком давно..
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от Hile on 28-Сен-15, 15:02 
https://revisium.com/ai/
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Пример поиска подозрительных php-файлов, содержащих очень дл..."  +/
Сообщение от Олег email(??) on 07-Окт-15, 12:08 
Спасибо помогло :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру