Как проверить скрипт на шелы и бэкдоры
- Автор темы arsen
- Дата начала
- Статус
WiZXaK
Причиняю добро
- Регистрация
- 8 Сен 2012
- Сообщения
- 884
- Реакции
- 873
Визуально сканить код со знаниям программиста
1) - Существуют "сканеры сайтов". Например: Shell and Backdoor Script Finder (Для просмотра ссылки Войди
Как и любой "антивирь", обережет от основных нападков, но 100% гарантии не даст.
2) Так же есть онлайн проверки сайта на наличие всякой дряни (меньше всего эффективности как по мне)
3) Услуги хостера - сканер вредоносного кода (если есть).
P.S: Для просмотра ссылки Войди
arsen
НЕрядовой
- Регистрация
- 16 Июн 2011
- Сообщения
- 1.078
- Реакции
- 355
- Автор темы
- #3
Конечно визуально-самый надежный,Визуально сканить код со знаниям программиста
1) - Существуют "сканеры сайтов". Например: Shell and Backdoor Script Finder (Для просмотра ссылки Войдиили Зарегистрируйся).
Как и любой "антивирь", обережет от основных нападков, но 100% гарантии не даст.
2) Так же есть онлайн проверки сайта на наличие всякой дряни (меньше всего эффективности как по мне)
3) Услуги хостера - сканер вредоносного кода (если есть).
P.S: Для просмотра ссылки Войдиили Зарегистрируйся
из остальных пробовал антивирь( так себе) и сканер кода (гасит и своих и чужих)
x1024
Писатель
- Регистрация
- 17 Окт 2012
- Сообщения
- 7
- Реакции
- 4
Зачастую, человек не сведущий в программировании врядли заметит "бяку" в скриптах. Полагаться на программные средства нельзя, т.к. они отловят только самые бородатые вкрапления бэкдоров и шеллов, причем те, которые не подвергались модификации.
Предлагаю простую логику проверки, но предупреждаю, что знания рассматриваемого скрипта необходимы, иначе все в пустую.
0 этап. Прогоняем известными нам антивирями. Эффективно так же прогнать через линуксовый ClamAV.
1. Самое безобидное что может быть -- это встраивание скрытых ссылок на сторонние ресурсы.
Цель: повысить кол-во ссылающихся доменов на целевые страницы(сайты), тем самым поднять рейтинг у поисковиков.
Решение: прогнать поиском в файловом менеджере по всей директории с условием поиска в тексте. Искать следует все вхождения
http://
https://
и каждое найденое вхождение проверять внимательно визуально.
Сдесь же давануть поиском по всем вызывам функций библиотеки Для просмотра ссылки Войдиили Зарегистрируйся, mail, exec,shell_exec, passthru, system, proc_open, popen, sock
В общем случае искать и уделять внимание в первую очеред функционалу связанному с загрузкой, отгрузкой данных, обращением к БД, открытию портов, сокетов, обращений к внешним адресам и функциям связанными с отправкой почты.
2. Проверить по датам изменений файлов. Многие упускают этот момент. Проверить глазами и умом более тчательно те, которые подверглись изменениям последними.
3. Вариант посложнее, когда встраиваемый код перед вставкой в скрипт Для просмотра ссылки Войдиили Зарегистрируйся. Как правило, если это касается PHP скриптов некого комерческого продукта - то там все довольно лаконично, красиво, правильные построения блоков условий и функций, читаемые адекватные имена переменных. Пролистывая даже бегло на глаз такую бяку все же можно заметить. Часто используют функционал Для просмотра ссылки Войди или Зарегистрируйся, который так же легко мониториться глазами.
4. Самый сложный вариант, когда "бяка" встроена "как надо". Грамотно составлена и не вызывает внешне подозрений. Здесь только разбираться в сути кода,... по существу пройти цепочки всех вызовов и функций. Может занять время примерно от 10% до 30% тех часов, которые были потрачены на разработку этого скрипта. Надежнее всего, но знания языка необходимы 100%.
Предлагаю простую логику проверки, но предупреждаю, что знания рассматриваемого скрипта необходимы, иначе все в пустую.
0 этап. Прогоняем известными нам антивирями. Эффективно так же прогнать через линуксовый ClamAV.
1. Самое безобидное что может быть -- это встраивание скрытых ссылок на сторонние ресурсы.
Цель: повысить кол-во ссылающихся доменов на целевые страницы(сайты), тем самым поднять рейтинг у поисковиков.
Решение: прогнать поиском в файловом менеджере по всей директории с условием поиска в тексте. Искать следует все вхождения
http://
https://
и каждое найденое вхождение проверять внимательно визуально.
Сдесь же давануть поиском по всем вызывам функций библиотеки Для просмотра ссылки Войди
В общем случае искать и уделять внимание в первую очеред функционалу связанному с загрузкой, отгрузкой данных, обращением к БД, открытию портов, сокетов, обращений к внешним адресам и функциям связанными с отправкой почты.
2. Проверить по датам изменений файлов. Многие упускают этот момент. Проверить глазами и умом более тчательно те, которые подверглись изменениям последними.
3. Вариант посложнее, когда встраиваемый код перед вставкой в скрипт Для просмотра ссылки Войди
4. Самый сложный вариант, когда "бяка" встроена "как надо". Грамотно составлена и не вызывает внешне подозрений. Здесь только разбираться в сути кода,... по существу пройти цепочки всех вызовов и функций. Может занять время примерно от 10% до 30% тех часов, которые были потрачены на разработку этого скрипта. Надежнее всего, но знания языка необходимы 100%.
5. Поставить на локалке, попользоваться при включенном анализаторе исходящего трафа/файрволе. Если скрипт сообщает своему хозяину о том, где его поставили, то это будет видно. Правда, возможно скрипт сообщает об этом не сразу, а только через определенное время/при особых условиях либо взломанный сайт находится взломщиком через гугл.
6. Анализ логов апача и 404 ошибки. Команды хакер будет давать через http, следовательно в логах будут urlы запросов хакера. Для поиска подозрительных урлов можно написать скрипт, который будет исключать те адреса, которые реально есть у пользователей сайта.
7. Опять же, время правки файлов. Для себя я сделал скриптик, время от времени проверяю, какие файлы поменялись за последние Х дней.
В любом случае, вероятность, что бекдор или шелл присутствует/появится есть всегда. Еще не стоит исключать вероятность кражу паролей от фтп, админки и т.д.
6. Анализ логов апача и 404 ошибки. Команды хакер будет давать через http, следовательно в логах будут urlы запросов хакера. Для поиска подозрительных урлов можно написать скрипт, который будет исключать те адреса, которые реально есть у пользователей сайта.
7. Опять же, время правки файлов. Для себя я сделал скриптик, время от времени проверяю, какие файлы поменялись за последние Х дней.
В любом случае, вероятность, что бекдор или шелл присутствует/появится есть всегда. Еще не стоит исключать вероятность кражу паролей от фтп, админки и т.д.
- Статус