LINUX.ORG.RU

grep -RPi --include="\.php$" "(eval\()|(drop)|(delete)|(exec\()|(\`(.*?)\`)|(unlink\()"
smt
()
Ответ на: комментарий от Frost

Подозрение в том, что среди тысячи клиентов есть раздолбай с протухшими CMS, суперсильными паролями admin/qwerty и пр. «Руками» грепать как-то уже неприлично. И главное - для отличия от обфускации

int13h ★★★★★
() автор топика
Ответ на: комментарий от int13h

Так с какого хера ты называешь это «вредоносным кодом»?

xtraeft ★★☆☆
()

Пилю себе такой сейчас. AI-Bolit не устраивает

1) Отсутствием эвристического анализа 2) Отсутствием вменяемого способа исключить из сканирование папку или файл 3) Большим числом ложных срабатываний 4) Неумной ресурсоёмкой тактикой проверки (после однократной проверки разумно было бы проверять только то, что изменилос с последнего сканирования) 5) Необучаемостью (только обновлять антивирусные базы) 6) Неумением работать в фоне 7) Неумением слать сообщения об обнаруженных бяках 8) Неумением лечить (99% бяки весьма тупо добавляется в начало или конец файла)

и пр. и др.

r_asian ★☆☆
()
Ответ на: комментарий от kombrig

О, точняк

8) неумением работать совместно с access-логом

r_asian ★☆☆
()
Ответ на: комментарий от xtraeft

http://www.revisium.com/ai/

ТС, обрати на этот инструмент внимание. В свое время помого найти около тысячи! зловредов на сайте, в котором два года провисел дырявый модуль джумлы. Прада сайту это не сильно помогло.

Medar ★★★★★
()
Ответ на: комментарий от zevilz

А эта хрень с самописами умеет работать?

Смотря какой самопис. У нас основная часть вирусни была по типу - зашифрованный вредоносный код в файле с именем .jpg и подобных, а в тело сайта встраивается вызов такого файла, его дешифровка и исполнение.

Для массовых вредоносов, что лезут на сайт через дырявые модули CMS и для первичного анализа инструмент вполне подойдет. Для более индивидуальных проблем, возможно, что нет. Я не спец. в таких вопросах.

Medar ★★★★★
()
Ответ на: комментарий от zevilz

Попробую свои дырявые самописы проверить)

А, так ты про свою самописную CMS? Будет работать, почему нет.

Medar ★★★★★
()
Ответ на: комментарий от ee1337a

Aes non olet

Да пофиг, если пиплу надо - пусть используют.

int13h ★★★★★
() автор топика
Ответ на: комментарий от r_asian

Вот полный список возможностей сканера AI-BOLIT http://revisium.com/ru/blog/AI-BOLIT-features_list.html.

1. есть эвристический анализ, сканирует не только по базе сигнатур 2. папка или файл исключаются добавлением строки в файл .adirignore 3. используйте вайтлистинг с файлами .aknown, срабатываний будет на порядок меньше 4. ai-bolit - тул, который нужен для сканирования скомпрометированных ресурсов, он не антивирус, не файрволл и не выполняет контроль целостности. Поэтому не хранит базу просканированных файлов. Но данная задача легко решается, если получить список измененных файлов, так как он умеет выборочно сканировать указанный список. 5. базы дополняются универсальными правилами, которые работают на базе регэкспов 6. чтобы сканер работал в фоне, запустите его как фоновый процесс, будет работать в фоне. Какое это имеет отношение к скрипту ? 7. он умеет отсылать отчет на email или складывать его в txt/html формат. Мониторинг он не делает, это сканер. 8. это сканер, не антивирус, его задача - детектировать вредоносный и подозрительный код в файлах. Все хотели бы, чтобы одной кнопкой скрипт лечил сайт, но после лечения нескольких тысяч сайтов, могу уверенно заявить, что есть огромное число нюансов (на хостинге, в скриптах), то в промышленных масштабах сделать лечащий модуль для сайтов весьма нетривиальная задача. Код встраивается не только в начало или в конец. Конечно, когда сайтов 10-20 и они все ваши, то лечение сделать можно даже банальным откатыванием до предыдущих версий или на основе сохраненных копий при контроле целостности. Но в промышленных масштабах (универсальную) лечилку сделать вряд ли получится.

gregzem
()
Ответ на: комментарий от gregzem

Дата регистрации: 10.03.2015 19:26:43

Отличная попытка, Айболит, но нет.

r_asian ★☆☆
()
Ответ на: комментарий от int13h

Да. но clamav не сильно, вроде, этот вид вредноносного ПО ищет, ЕМНИП

Кламав с этой задачей вообще никак не стравляется

r_asian ★☆☆
()
Ответ на: комментарий от int13h

попробуй разными антивирусами прогнать если есть такая возможность, периодически будешь это делать и спать спокойно

Frost ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.