====== Поиск вирусов на сайте ====== ===== Сканеры ===== * [[https://revisium.com/ai/|Айболит]] ===== Сигнатуры вирусов ===== * file_get_contents( * eval * base64_decode * $_COOKIE, $_POST * IonCube_loader * @include %%"%% * $http_response_header ===== Поиск файлов ===== find . -type f -iname "*" -exec grep -Him1 'eval' {} \; > ./eval.log find . -type f -iname "*" -exec grep -Him1 'base64' {} \; > ./base64.log find . -type f -iname "*" -exec grep -Him1 'file_get_contents' {} \; > ./file_get_contents.log ===== Поиск директорий с полными правами на запись ===== find . -perm 777 -type d ===== Времена у файла, папки ===== stat * ===== Поиск измененных файлов за период ===== Модифицированные в период от 2 до 4 дней тому назад: find . -mtime 2 -mtime -4 -daystart ===== Скрипт поиска POST запросов в логах ===== * 95.79.49.223 - отсеивает мои запросы по моему IP * POST /core/components/formit/docs/upkxrwpi.php HTTP/1.0 **200** Вирус сработал * POST /assets/components/formit/js/fiodsfgw.php HTTP/1.0 **404** Файл с вирусом был, но удалён #!/bin/bash cat ~/logs/*.log| grep -v '95.79.49.223' | grep -v 'POST / HTTP' | egrep 'POST .*200' > all-post-200.txt cat ~/logs/*.log| grep -v '95.79.49.223' | grep -v 'POST / HTTP' | egrep 'POST .*40[34]{1,1}' > all-post-400.txt ===== Ссылки ==== * [[https://revisium.com/kb/find_shell1.html|Быстрый поиск шеллов]]