The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Пример поиска подозрительных php-файлов, содержащих очень длинные строки
Некоторые вирусные php-файлы содержат очень длинные строки в коде. Такие файлы
можно поискать однострочником:

   find ./ -name "*.php" -print0 |  wc -L --files0-from=- | sort -V | grep -E "^[0-9]{5,}+ \\./"

найденные файлы можно просмотреть визуально или проверить чем-то еще.
 
25.05.2015 , Автор: 100RAGE1
Ключи: php, find, virus / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Адекват, 07:41, 27/05/2015 [ответить] [смотреть все]
  • +/
    | xargs rm -rf
     
     
  • 2.9, Коля, 00:23, 31/05/2015 [^] [ответить] [смотреть все]
  • –1 +/
    Ага, ага. Рекурсивность применять к единичным файлам. Молодец
     
  • 1.2, Аноним, 10:39, 27/05/2015 [ответить] [смотреть все]
  • +/
    А как насчет чего-нибудь типа find -name php -exec grep eval base64_dec... весь текст скрыт [показать]
     
     
  • 2.3, Аноним, 10:39, 27/05/2015 [^] [ответить] [смотреть все]  
  • +/
    grep -l конечно
     
  • 2.7, Xasd, 13:33, 29/05/2015 [^] [ответить] [смотреть все]  
  • +/
    в PHP кстати огромное количество функций которые делают eval ..

    например, preg_replace ..

    не говоря уже о том что можно сделать:

    $a = 'pre';
    $b = 'g_replace';
    $c = $a.$b;
    $c(...);

     
  • 1.4, 100RAGE1, 13:07, 27/05/2015 [ответить] [смотреть все]  
  • +/
    Поиск eval.*base64_decode и других масок мы реализовали в антивирусе, но он не влез в одну строку кода, как в примере =)
     
     
  • 2.8, aaaaaaa, 15:19, 30/05/2015 [^] [ответить] [смотреть все]  
  • +/
    таки поделитесь, будте любезы...
     
  • 1.5, 100RAGE1, 13:14, 27/05/2015 [ответить] [смотреть все]  
  • +/
    Кстати можно одним grep-ом:
    grep -Ri -lsE --include="*.php" "eval.*base64_decode|^GIF89|Web Shell by|r57shell|c99 inj|default_action=.*FilesMan" ./
    и так далее добавляем маски
     
  • 1.6, stalker37, 23:47, 27/05/2015 [ответить] [смотреть все]  
  • +/
    ещё часто ловится вот такое вот:
    if (!$ind78f5022f) { $ind78f5022f = TRUE;assert("e"."v"."a"."l(b"."a"."s"."e"."6"."4_d"."e"."c"."o"."d"."e('ICR........
     
  • 1.10, Аноним, 07:22, 02/06/2015 [ответить] [смотреть все]  
  • +/
    Таких видов файлов достаточно много, у нас список шаблонов в текстовом файле Та... весь текст скрыт [показать]
     
  • 1.11, vitalif, 15:51, 04/06/2015 [ответить] [смотреть все]  
  • +/
    Есть вот такая штука, https://github.com/emposha/PHP-Shell-Detector
     
     
  • 2.12, George, 13:47, 08/06/2015 [^] [ответить] [смотреть все]  
  • +/
    Давно не обновлялось.
     
     
  • 3.15, Олег, 12:09, 07/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Два дня назад, от 2015.10.07. Это слишком давно..
     
  • 2.13, Hile, 15:02, 28/09/2015 [^] [ответить] [смотреть все]  
  • +/
    https://revisium.com/ai/
     
  • 1.14, Олег, 12:08, 07/10/2015 [ответить] [смотреть все]  
  • +/
    Спасибо помогло :)
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor