форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Пример поиска подозрительных php-фа..."	+/–
Сообщение от auto_tips (ok) on 27-Май-15, 07:41
Некоторые вирусные php-файлы содержат очень длинные строки в коде. Такие файлы можно поискать однострочником:    find ./ -name "*.php" -print0 |  wc -L --files0-from=- | sort -V | grep -E "^[0-9]{5,}+ \./" найденные файлы можно просмотреть визуально или проверить чем-то еще. URL: Обсуждается: http://www.opennet.me/tips/info/2908.shtml
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по ответам | RSS]

	1. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от Адекват (ok) on 27-Май-15, 07:41
	| xargs rm -rf
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от Аноним (??) on 27-Май-15, 10:39
	А как насчет чего-нибудь типа find ./ -name "*.php" -exec grep 'eval.*base64_decode' '{}' \+
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от Аноним (??) on 27-Май-15, 10:39
	grep -l конечно
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от 100RAGE1 on 27-Май-15, 13:07
	Поиск eval.*base64_decode и других масок мы реализовали в антивирусе, но он не влез в одну строку кода, как в примере =)
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от 100RAGE1 on 27-Май-15, 13:14
	Кстати можно одним grep-ом: grep -Ri -lsE --include="*.php" "eval.*base64_decode|^GIF89|Web Shell by|r57shell|c99 inj|default_action=.*FilesMan" ./ и так далее добавляем маски
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от stalker37 on 27-Май-15, 23:47
	ещё часто ловится вот такое вот: if (!$ind78f5022f) { $ind78f5022f = TRUE;assert("e"."v"."a"."l(b"."a"."s"."e"."6"."4_d"."e"."c"."o"."d"."e('ICR........
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от Xasd (ok) on 29-Май-15, 13:33
	в PHP кстати огромное количество функций которые делают eval .. например, preg_replace .. не говоря уже о том что можно сделать: $a = 'pre'; $b = 'g_replace'; $c = $a.$b; $c(...);
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	8. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от aaaaaaa on 30-Май-15, 15:19
	таки поделитесь, будте любезы...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	–1 +/–
	Сообщение от Коля on 31-Май-15, 00:23
	Ага, ага. Рекурсивность применять к единичным файлам. Молодец
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	10. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от Аноним (??) on 02-Июн-15, 07:22
	Таких видов файлов достаточно много, у нас список шаблонов в текстовом файле. Также есть класс шаблонов, в которых учтено, что название переменной или функции может изменяться.
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от vitalif (ok) on 04-Июн-15, 15:51
	Есть вот такая штука, https://github.com/emposha/PHP-Shell-Detector
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от George (??) on 08-Июн-15, 13:47
	Давно не обновлялось.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от Hile on 28-Сен-15, 15:02
	https://revisium.com/ai/
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от Олег (??) on 07-Окт-15, 12:08
	Спасибо помогло :)
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Пример поиска подозрительных php-файлов, содержащих очень дл..."	+/–
	Сообщение от Олег (??) on 07-Окт-15, 12:09
	Два дня назад, от 2015.10.07. Это слишком давно..
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема