БАЗА ЗНАНИЙ

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: start » sajty » poisk_virusov
Вы посетили: linux debian_11_certbot zapis_dvd_autoring
sajty:poisk_virusov

Различия

Показаны различия между двумя версиями страницы.


sajty:poisk_virusov [2018.05.21 10:43] (текущий) – создано - внешнее изменение 127.0.0.1
Строка 1: Строка 1:
 +====== Поиск вирусов на сайте ======
 +
 +===== Сканеры =====
 +  * [[https://revisium.com/ai/|Айболит]]
 +
 +
 +===== Сигнатуры вирусов =====
 +
 +  *   file_get_contents(
 +  *   eval
 +  *   base64_decode
 +  *   $_COOKIE, $_POST
 +  *   IonCube_loader
 +  *   @include %%"%%
 +  *   $http_response_header
 +
 +===== Поиск  файлов =====
 +
 +  find . -type f -iname "*" -exec grep -Him1 'eval' {} \; > ./eval.log
 +  find . -type f -iname "*" -exec grep -Him1 'base64' {} \; > ./base64.log
 +  find . -type f -iname "*" -exec grep -Him1 'file_get_contents' {} \; > ./file_get_contents.log
 +
 +===== Поиск директорий с полными правами на запись =====
 +
 +  find . -perm 777 -type d
 +  
 +===== Времена у файла, папки =====
 +  stat *
 +
 +===== Поиск измененных файлов за период =====
 +
 +Модифицированные в период от 2 до 4 дней тому назад:
 +
 +  find . -mtime 2 -mtime -4 -daystart
 +
 +===== Скрипт поиска POST запросов в логах =====
 +
 +  * 95.79.49.223 - отсеивает мои запросы по моему IP
 +  * POST /core/components/formit/docs/upkxrwpi.php HTTP/1.0 **200**  Вирус сработал
 +  * POST /assets/components/formit/js/fiodsfgw.php HTTP/1.0 **404**  Файл с вирусом был, но удалён  
 +
 +<code bash check-logs.sh>
 +
 +#!/bin/bash
 +
 +cat ~/logs/*.log| grep -v '95.79.49.223' | grep -v 'POST / HTTP' | egrep 'POST .*200' > all-post-200.txt
 +cat ~/logs/*.log| grep -v '95.79.49.223' | grep -v 'POST / HTTP' | egrep 'POST .*40[34]{1,1}' > all-post-400.txt
 +
 +</code>
 +
 +
 +===== Ссылки ====
 +  * [[https://revisium.com/kb/find_shell1.html|Быстрый поиск шеллов]]
  

Инструменты страницы

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki