====== Поиск вирусов на сайте ======

===== Сканеры =====
  * [[https://revisium.com/ai/|Айболит]]


===== Сигнатуры вирусов =====

  *   file_get_contents(
  *   eval
  *   base64_decode
  *   $_COOKIE, $_POST
  *   IonCube_loader
  *   @include %%"%%
  *   $http_response_header

===== Поиск  файлов =====

  find . -type f -iname "*" -exec grep -Him1 'eval' {} \; > ./eval.log
  find . -type f -iname "*" -exec grep -Him1 'base64' {} \; > ./base64.log
  find . -type f -iname "*" -exec grep -Him1 'file_get_contents' {} \; > ./file_get_contents.log

===== Поиск директорий с полными правами на запись =====

  find . -perm 777 -type d
  
===== Времена у файла, папки =====
  stat *

===== Поиск измененных файлов за период =====

Модифицированные в период от 2 до 4 дней тому назад:

  find . -mtime 2 -mtime -4 -daystart

===== Скрипт поиска POST запросов в логах =====

  * 95.79.49.223 - отсеивает мои запросы по моему IP
  * POST /core/components/formit/docs/upkxrwpi.php HTTP/1.0 **200**  Вирус сработал
  * POST /assets/components/formit/js/fiodsfgw.php HTTP/1.0 **404**  Файл с вирусом был, но удалён  

<code bash check-logs.sh>

#!/bin/bash

cat ~/logs/*.log| grep -v '95.79.49.223' | grep -v 'POST / HTTP' | egrep 'POST .*200' > all-post-200.txt
cat ~/logs/*.log| grep -v '95.79.49.223' | grep -v 'POST / HTTP' | egrep 'POST .*40[34]{1,1}' > all-post-400.txt

</code>


===== Ссылки ====
  * [[https://revisium.com/kb/find_shell1.html|Быстрый поиск шеллов]]