php Shell_Finder

Как то было дело в далёком 2009 году я работал на одну из организаций которая имела несколько своих Web ресурсов. IT отдел там хромал, причем на обе. Главный их сайт был сделан на .html файлах, и нескольких php скриптах. В общей сложности .html файлов было примерно 3500. И как раз после моего прихода оказалось, что их сайт взломали и запустили скрипт который поразил почти все файлы js инекцией. Которая делал редирект. В общем была задача написать скрипт который, бы лазил по всем файлам и заменял в них найденную по шаблону строку. Скрипт был сделан, запущен. После нашли дыру, в сайте, закрыли её. И конечно убили чужой скрипт на сервере. Однако у меня остался мой инструмент, который позволял мне сканировать все файлы и искать в них определенную подстроку. Я его изменил на некий инструмент для поиска в .php файлах определённой подстроки. И ведение лога по тем файлам в которых такая строка найдена. В общем теперь я его применяю как ShellFinder.

shell_find — Вот вам tar архивчик с этим скриптом. Скрипт не большой всего в 60 строк. Запускать его можно из любой директории. После запуска он спросит ввод строки которую надо найти, и путь к директории в которой будет производится поиск. При этом поиск производится рекурсивно во всех поддиректориях от указанной. Поиск производится в .php файлах. Если вам это не подходит вы можете сами изменить исходник под те цели которые вам необходимы. После поиска рядом со скриптом будет создан файл infected.log в нём будет показан отчёт. Будет указана строка с именем файла и датой его создания, строка где был найден шаблон. Из-за простейшего механизма и не мудрёной логики скрипта он получился довольно быстрым. На средненьком ноутбуке 10 000 файлов пробегает меньше чем за 20 секунд. Кому надо пользуйтесь!

Да и вот о чём хотелось бы рассказать. Недавно я наткнулся на более мощный скрипт поиска вирусов на хостингах, или для анализа сайтов на локалке. Это скрипт AiBolit. Порой я прибегаю к его помощи. Когда есть подозрение что тот или иной хост был с дырой, и явно нахватался гадостей. Скрипт AiBolit имеет большой функционал, и большую базу знания. Он вам и shell найдёт и .htacces редирект просекёт, и размеры файлов проверит. Вобщем инструмент удался на ура! А вот вам и ссылочка для более детального ознакомления revisium.com/ai/

vk.com facebook.com TwitterMail.ru