форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Программирование под UNIX (Shell скрипты)
Изначальное сообщение		[ Отслеживать ]

"Нужен скрипт для поиска кусков текста в файлах по маске."	+/–
Сообщение от universite (ok) on 21-Сен-07, 05:34
На хостинговых серверах нужно сделать скрипт для проверки в *.php и *.html вредоносного кода, например iframe, javascript и других "особых меток", и выдать полный путь к подозрительному файлу. Вот, набросал скриптик, но это частный случай. #!/bin/bash for filename in *.php do badname=`cat "$filename" | grep "o65" ` if [ `expr $badname = 0` ] then     ls -1 $filename fi done Нужен более продвинутый скрипт или программа.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Нужен скрипт для поиска кусков текста в файлах по маске."	+/–
Сообщение от exn (??) on 21-Сен-07, 11:59
:D man find, man grep
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Нужен скрипт для поиска кусков текста в файлах по маске."	+/–
Сообщение от anonymous (??) on 21-Сен-07, 14:12
>На хостинговых серверах нужно сделать скрипт для проверки в *.php и *.html >вредоносного кода, например iframe, javascript и других "особых меток", и выдать >полный путь к подозрительному файлу. Занимаюсь тем же (уже есть рабочие скрипты), если есть какие-то идеи или сами вредоносные скрипты (для построения сигнатур) -- прошу в ICQ 260635448
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Нужен скрипт для поиска кусков текста в файлах по маске."	+/–
	Сообщение от phpcoder (??) on 22-Сен-07, 23:48
	>Занимаюсь тем же (уже есть рабочие скрипты), если есть какие-то идеи или >сами вредоносные скрипты (для построения сигнатур) -- прошу в ICQ 260635448 Возможно, эта ссылка будет вам полезна: http://www.ossec.net/wiki/index.php/WebAttacks_links Также, советую посмотреть в сторону этого OSSEC, он, как понимаю, такое тоже умеет.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "Нужен скрипт для поиска кусков текста в файлах по маске."	+/–
	Сообщение от anonymous (??) on 23-Сен-07, 00:56
	>>Занимаюсь тем же (уже есть рабочие скрипты), если есть какие-то идеи или >>сами вредоносные скрипты (для построения сигнатур) -- прошу в ICQ 260635448 > >Возможно, эта ссылка будет вам полезна: http://www.ossec.net/wiki/index.php/WebAttacks_links > >Также, советую посмотреть в сторону этого OSSEC, он, как понимаю, такое тоже >умеет. Да, спасибо.  Но это "добро" и так оседает на моих серверах в достаточном количестве (благодаря дырявым скриптам клиентов).  Главная задача состоит как раз-таки в написании "движка", который будет производить поиск в файлах, и работать достаточно быстро.  Обычные регулярные выражения являются недостаточно быстрыми для построения единичных сигнатур.  Хотя если ситоить сигнатуру общую для целого класса возможных вредоносных скриптов, то регулярные выражения подходят. Я уже думал создать собственные сигнатуры для clamav, но не нашел как.  В этой ситуации нас ведь не интересуют все Windows PE вирусы, поэтому стандартные сингатуры можно было бы отключить.  Кстати, clamav уже знает некоторые "популярные" скрипты-веб-шеллы.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Нужен скрипт для поиска кусков текста в файлах по маске."	+/–
	Сообщение от universite (ok) on 23-Сен-07, 01:24
	>[оверквотинг удален] >в достаточном количестве (благодаря дырявым скриптам клиентов).  Главная задача состоит >как раз-таки в написании "движка", который будет производить поиск в файлах, >и работать достаточно быстро.  Обычные регулярные выражения являются недостаточно быстрыми >для построения единичных сигнатур.  Хотя если ситоить сигнатуру общую для >целого класса возможных вредоносных скриптов, то регулярные выражения подходят. > >Я уже думал создать собственные сигнатуры для clamav, но не нашел как. > В этой ситуации нас ведь не интересуют все Windows PE >вирусы, поэтому стандартные сингатуры можно было бы отключить.  Кстати, clamav >уже знает некоторые "популярные" скрипты-веб-шеллы. Давайте не будем плодить антивирусов на хостинговых серверах. Нужен быстрый скрипт для регулярного сканирования данных на поиск шеллов, javascript write () и iframe.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Нужен скрипт для поиска кусков текста в файлах по маске."	+/–
	Сообщение от anonymous (??) on 23-Сен-07, 03:31
	>Давайте не будем плодить антивирусов на хостинговых серверах. >Нужен быстрый скрипт для регулярного сканирования данных на поиск шеллов, javascript write >() и iframe. Если полученным скриптом для сканирования будет пользоваться достаточное количество админов -- уже через месяц этот write() будут внедрять только завуалировано -- и средствами javascript, и php. А вот шеллы *уже* шифруют.  Я пактически не встерчаю у себя шеллов в чистом виде.  И имена файлам нормальные дают, такие что на первый взгляд не скажешь -- это часть сайта или следы взлома. Ещё есть спамилки.  Их прячут как могут с незапамятных времен: это были и разного рода демоны на перле, и шифрованные, и кодированные, и скрипты, внедрённые в корневой index.php. Не знаю конкретно вашей ситуации, но я с простыми ситуациями сталкиваюсь всё реже, и уже сейчас понимаю, что если под всё это написать регекспы -- просмотр диска среднего размера не завершится даже за сутки.  Нужны более заточенные решения.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

3. "Нужен скрипт для поиска кусков текста в файлах по маске."	+/–
Сообщение от angra (ok) on 21-Сен-07, 16:29
Что именно ищется, какая структура сигнатур?. В простейшем случае, когда нужно искать набор "слов" достаточно однострочника на перл
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Нужен скрипт для поиска кусков текста в файлах по маске."	+/–
	Сообщение от anonymous (??) on 21-Сен-07, 17:11
	>Что именно ищется, какая структура сигнатур?. В простейшем случае, когда нужно искать >набор "слов" достаточно однострочника на перл Вообще задача довольно сложная и фактически является написанием некоторого рода антивируса, который учитывает много параметров: * размер файла * собственно сигнатуры (обычно просто строки или регекспы) * возможность обфускации скрипта (хотя бы самыми распространёнными методами) * некоторые общие сигнатуры (которые говорят "это очень похоже на вредоносный код") * ещё что-то, что я забыл И к тому же, это должно работать быстро.  Время обработки среднего диска в 70 Гб не должно превышать разумных пределов в часа три работы.  Поэтому нужно придумывать всякие оптимизации (например, на сканировать файлы .jpeg -- но тогда мы оставляем дырку для вредоносных файлов... так что этот вариант не подходит, но суть ясна -- сканировать вообще всё нереально)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	10. "Нужен скрипт для поиска кусков текста в файлах по маске."	+/–
	Сообщение от Nickroman on 14-Май-13, 18:13
	>[оверквотинг удален] > * собственно сигнатуры (обычно просто строки или регекспы) > * возможность обфускации скрипта (хотя бы самыми распространёнными методами) > * некоторые общие сигнатуры (которые говорят "это очень похоже на вредоносный код") > * ещё что-то, что я забыл > И к тому же, это должно работать быстро.  Время обработки среднего > диска в 70 Гб не должно превышать разумных пределов в часа > три работы.  Поэтому нужно придумывать всякие оптимизации (например, на сканировать > файлы .jpeg -- но тогда мы оставляем дырку для вредоносных файлов... > так что этот вариант не подходит, но суть ясна -- сканировать > вообще всё нереально) К слову об оптимизации. Надо сканировать только те файлы, которые подвергались изменению с момента прошлого сканирования. =)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Нужен скрипт для поиска кусков текста в файлах по маске."	+/–
Сообщение от universite (ok) on 21-Сен-07, 21:02
Имеем: * поиск шеллов - поиск файлов rst.php, gzr.php и php.php (последний файл часто используют боты для мамбы и для phpinfo(), которые мы игнорируем) * поиск кода, в основном в файлах index.php и index.html, <!-- o65 --> <script type="text/javascript">document.write('код скрипта')</script><!-- o65 --> * поиск кода iframe
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема