Различия

Показаны различия между двумя версиями страницы.

--- сайты:поиск_вирусов [2017.11.21 12:35] – feser
+++ сайты:поиск_вирусов [2018.05.21 10:43] (текущий) – feser
@@ Строка 1: / Строка 1: @@
 ====== Поиск вирусов на сайте ======
-===== Поиск  файлов =====
+===== Сканеры =====
+  * [[https://revisium.com/ai/|Айболит]]
+===== Сигнатуры вирусов =====
+  *   file_get_contents(
+  *   eval
+  *   base64_decode
+  *   $_COOKIE, $_POST
+  *   IonCube_loader
+  *   @include %%"%%
+  *   $http_response_header
+===== Поиск  файлов =====
   find . -type f -iname "*" -exec grep -Him1 'eval' {} \; > ./eval.log
@@ Строка 12: / Строка 24: @@
   find . -perm 777 -type d
+===== Времена у файла, папки =====
+  stat *
 ===== Поиск измененных файлов за период =====
@@ Строка 19: / Строка 34: @@
   find . -mtime 2 -mtime -4 -daystart
+===== Скрипт поиска POST запросов в логах =====
+  * 95.79.49.223 - отсеивает мои запросы по моему IP
+  * POST /core/components/formit/docs/upkxrwpi.php HTTP/1.0 **200**  Вирус сработал
+  * POST /assets/components/formit/js/fiodsfgw.php HTTP/1.0 **404**  Файл с вирусом был, но удалён
+<code bash check-logs.sh>
+#!/bin/bash
+cat ~/logs/*.log| grep -v '95.79.49.223' | grep -v 'POST / HTTP' | egrep 'POST .*200' > all-post-200.txt
+cat ~/logs/*.log| grep -v '95.79.49.223' | grep -v 'POST / HTTP' | egrep 'POST .*40[34]{1,1}' > all-post-400.txt
+</code>
-[[https://www.google.com/chrome/browser/thankyou.html?standalone=1&platform=win64&statcb=0|Через какую дыру взломали сайт?]]
+===== Ссылки ====
-[[https://revisium.com/kb/find_shell1.html|Быстрый поиск шеллов]]
+  * [[https://revisium.com/kb/find_shell1.html|Быстрый поиск шеллов]]

БАЗА ЗНАНИЙ

Инструменты пользователя

Инструменты сайта

Различия

Инструменты страницы