Чем ловить шеллы и эксплоиты на php-сайтах?

Question

[Valeriy Solovyov]

Привет всем,
Есть ли некое средство для ловли шелов и эксплойтов?
Что-то что позволит найти связь между $_POST['id'] и модификацией index.php?

Answer 1

[Владимир Мартьянов]

Поиск по eval, baase64 может помочь.
Идеальный вариант - сравнение заведомо чистой копии сайта с зараженной.

Comments

[Валерий Рябошапко]

Согласен. Собрать список хэшей всех файлов исходной версии сайта и проверять их, например, по крону или по запросу из nagios.

[Владимир Мартьянов]

Валерий Рябошапко: А вот интересный вопрос: как появление нового файла обнаружить при этом?

[Валерий Рябошапко]

Сравнивать список файлов на диске со списком файлов в таблице хэшей. Очевидно же. Можно даже извратиться и исключить из проверки папки, выделенные под аплоад.

[Valeriy Solovyov]

Мне интересно не постфактум, а во время атаки на сайт

[Владимир Мартьянов]

Valeriy Solovyov: Никак: скрипт будет выполнять ровно то, что в нем заложено. Имея исходный код (да и без него, вероятно) можно ровно одним запросом поиметь сайт. Можно отследить инструменты типа sqlmap/acunetix, конечно.

Answer 2

[Вячеслав Барсуков]

Средств 100% ловли нет. Но проверяющие запросы по сигнатуре есть. Но они при большом количестве запросов могут неплохо нагрузить сервер.
Лучше каким нибудь айболитом или кламав по крону делай проверку и смотри результат.