The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Нужен скрипт для поиска кусков текста в файлах по маске."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Программирование под UNIX (Shell скрипты)
Изначальное сообщение [ Отслеживать ]

"Нужен скрипт для поиска кусков текста в файлах по маске."  +/
Сообщение от universite email(ok) on 21-Сен-07, 05:34 
На хостинговых серверах нужно сделать скрипт для проверки в *.php и *.html вредоносного кода, например iframe, javascript и других "особых меток", и выдать полный путь к подозрительному файлу.

Вот, набросал скриптик, но это частный случай.


#!/bin/bash

for filename in *.php
do
badname=`cat "$filename" | grep "o65" `
if [ `expr $badname = 0` ]
then
    ls -1 $filename
fi
done

Нужен более продвинутый скрипт или программа.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Нужен скрипт для поиска кусков текста в файлах по маске."  +/
Сообщение от exn (??) on 21-Сен-07, 11:59 
:D man find, man grep
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Нужен скрипт для поиска кусков текста в файлах по маске."  +/
Сообщение от anonymous (??) on 21-Сен-07, 14:12 
>На хостинговых серверах нужно сделать скрипт для проверки в *.php и *.html
>вредоносного кода, например iframe, javascript и других "особых меток", и выдать
>полный путь к подозрительному файлу.

Занимаюсь тем же (уже есть рабочие скрипты), если есть какие-то идеи или сами вредоносные скрипты (для построения сигнатур) -- прошу в ICQ 260635448

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Нужен скрипт для поиска кусков текста в файлах по маске."  +/
Сообщение от phpcoder email(??) on 22-Сен-07, 23:48 
>Занимаюсь тем же (уже есть рабочие скрипты), если есть какие-то идеи или
>сами вредоносные скрипты (для построения сигнатур) -- прошу в ICQ 260635448

Возможно, эта ссылка будет вам полезна: http://www.ossec.net/wiki/index.php/WebAttacks_links

Также, советую посмотреть в сторону этого OSSEC, он, как понимаю, такое тоже умеет.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Нужен скрипт для поиска кусков текста в файлах по маске."  +/
Сообщение от anonymous (??) on 23-Сен-07, 00:56 
>>Занимаюсь тем же (уже есть рабочие скрипты), если есть какие-то идеи или
>>сами вредоносные скрипты (для построения сигнатур) -- прошу в ICQ 260635448
>
>Возможно, эта ссылка будет вам полезна: http://www.ossec.net/wiki/index.php/WebAttacks_links
>
>Также, советую посмотреть в сторону этого OSSEC, он, как понимаю, такое тоже
>умеет.

Да, спасибо.  Но это "добро" и так оседает на моих серверах в достаточном количестве (благодаря дырявым скриптам клиентов).  Главная задача состоит как раз-таки в написании "движка", который будет производить поиск в файлах, и работать достаточно быстро.  Обычные регулярные выражения являются недостаточно быстрыми для построения единичных сигнатур.  Хотя если ситоить сигнатуру общую для целого класса возможных вредоносных скриптов, то регулярные выражения подходят.

Я уже думал создать собственные сигнатуры для clamav, но не нашел как.  В этой ситуации нас ведь не интересуют все Windows PE вирусы, поэтому стандартные сингатуры можно было бы отключить.  Кстати, clamav уже знает некоторые "популярные" скрипты-веб-шеллы.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Нужен скрипт для поиска кусков текста в файлах по маске."  +/
Сообщение от universite email(ok) on 23-Сен-07, 01:24 

>[оверквотинг удален]
>в достаточном количестве (благодаря дырявым скриптам клиентов).  Главная задача состоит
>как раз-таки в написании "движка", который будет производить поиск в файлах,
>и работать достаточно быстро.  Обычные регулярные выражения являются недостаточно быстрыми
>для построения единичных сигнатур.  Хотя если ситоить сигнатуру общую для
>целого класса возможных вредоносных скриптов, то регулярные выражения подходят.
>
>Я уже думал создать собственные сигнатуры для clamav, но не нашел как.
> В этой ситуации нас ведь не интересуют все Windows PE
>вирусы, поэтому стандартные сингатуры можно было бы отключить.  Кстати, clamav
>уже знает некоторые "популярные" скрипты-веб-шеллы.

Давайте не будем плодить антивирусов на хостинговых серверах.
Нужен быстрый скрипт для регулярного сканирования данных на поиск шеллов, javascript write () и iframe.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Нужен скрипт для поиска кусков текста в файлах по маске."  +/
Сообщение от anonymous (??) on 23-Сен-07, 03:31 
>Давайте не будем плодить антивирусов на хостинговых серверах.
>Нужен быстрый скрипт для регулярного сканирования данных на поиск шеллов, javascript write
>() и iframe.

Если полученным скриптом для сканирования будет пользоваться достаточное количество админов -- уже через месяц этот write() будут внедрять только завуалировано -- и средствами javascript, и php.

А вот шеллы *уже* шифруют.  Я пактически не встерчаю у себя шеллов в чистом виде.  И имена файлам нормальные дают, такие что на первый взгляд не скажешь -- это часть сайта или следы взлома.

Ещё есть спамилки.  Их прячут как могут с незапамятных времен: это были и разного рода демоны на перле, и шифрованные, и кодированные, и скрипты, внедрённые в корневой index.php.

Не знаю конкретно вашей ситуации, но я с простыми ситуациями сталкиваюсь всё реже, и уже сейчас понимаю, что если под всё это написать регекспы -- просмотр диска среднего размера не завершится даже за сутки.  Нужны более заточенные решения.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

3. "Нужен скрипт для поиска кусков текста в файлах по маске."  +/
Сообщение от angra (ok) on 21-Сен-07, 16:29 
Что именно ищется, какая структура сигнатур?. В простейшем случае, когда нужно искать набор "слов" достаточно однострочника на перл
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Нужен скрипт для поиска кусков текста в файлах по маске."  +/
Сообщение от anonymous (??) on 21-Сен-07, 17:11 
>Что именно ищется, какая структура сигнатур?. В простейшем случае, когда нужно искать
>набор "слов" достаточно однострочника на перл

Вообще задача довольно сложная и фактически является написанием некоторого рода антивируса, который учитывает много параметров:
* размер файла
* собственно сигнатуры (обычно просто строки или регекспы)
* возможность обфускации скрипта (хотя бы самыми распространёнными методами)
* некоторые общие сигнатуры (которые говорят "это очень похоже на вредоносный код")
* ещё что-то, что я забыл

И к тому же, это должно работать быстро.  Время обработки среднего диска в 70 Гб не должно превышать разумных пределов в часа три работы.  Поэтому нужно придумывать всякие оптимизации (например, на сканировать файлы .jpeg -- но тогда мы оставляем дырку для вредоносных файлов... так что этот вариант не подходит, но суть ясна -- сканировать вообще всё нереально)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Нужен скрипт для поиска кусков текста в файлах по маске."  +/
Сообщение от Nickroman email on 14-Май-13, 18:13 
>[оверквотинг удален]
> * собственно сигнатуры (обычно просто строки или регекспы)
> * возможность обфускации скрипта (хотя бы самыми распространёнными методами)
> * некоторые общие сигнатуры (которые говорят "это очень похоже на вредоносный код")
> * ещё что-то, что я забыл
> И к тому же, это должно работать быстро.  Время обработки среднего
> диска в 70 Гб не должно превышать разумных пределов в часа
> три работы.  Поэтому нужно придумывать всякие оптимизации (например, на сканировать
> файлы .jpeg -- но тогда мы оставляем дырку для вредоносных файлов...
> так что этот вариант не подходит, но суть ясна -- сканировать
> вообще всё нереально)

К слову об оптимизации. Надо сканировать только те файлы, которые подвергались изменению с момента прошлого сканирования. =)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Нужен скрипт для поиска кусков текста в файлах по маске."  +/
Сообщение от universite email(ok) on 21-Сен-07, 21:02 
Имеем:

* поиск шеллов - поиск файлов rst.php, gzr.php и php.php (последний файл часто используют боты для мамбы и для phpinfo(), которые мы игнорируем)
* поиск кода, в основном в файлах index.php и index.html, <!-- o65 --> <script type="text/javascript">document.write('код скрипта')</script><!-- o65 -->
* поиск кода iframe

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру