Чем проверить backup на php шеллы?

Question

[Z]

Есть бекап сайта. Примерно 30 гигобайт файлов.
Чем можно просканировать и проверить на наличие шелла в папках и файлах?

Есть подозрения что прошлый администратор мог оставить данную штуку спрятанную в недрах папок. Какие есть варианты обезопасить себя при переезде на другой сервер?

Answer 1

[IceJOKER]

Да там может быть 1 строчка кода, которая может нахрен снести весь сайт или дать полный доступ злоумышленнику.
Если вы дружите с php, то открываете каждый файл и проверяете, можете автоматизировать поверхностный поиск, но 99% гарантии тогда не будет, если не дружите, то нанимаете программиста и за $$$$$ вам все сделают.

Чтоб не быть голословным, простой пример кода(шелла):
//КОД УДАЛЕН
^^^
Добавляем эту строчку кода в какой-нибудь файл(зависит от структуры кода), далее просто отправляем POST запрос на нужную страницу и вуаля..
Учитывая, что ТОТ чувак знает что да как в вашем скрипте и учитывая, что у него был доступ к нему, то уж поверьте, есть уйму разных вариантов, как докучать вам. Что там код выше, можно просто оставить какое-нибудь поле без фильтрации и уже помощью него достать информацию из бд или сделать что-то иное

Comments

[Z]

Можно узнать какая строчка может снести "нахрен" весь сайт вместе с БД? Поверхностный поиск на предмет каких строк? Каждый файл открывать не вариант, файлов огромное количество. Программисты этим не занимаются. Это из оперы "нутыжпрограммист посмотри почему стиральная машина не работает".

[IceJOKER]

Z: подходы могут быть разные(не хочу приводить примеры, чтоб ни у кого руки не зачесались).
Самый просто пример - оставить какую-нибудь переменную без фильтрации, а далее зная(даже не зная) структуру кода можно поиграться с нервами владельца сайта

[Z]

IceJOKER: Можно побольше конкретики? На конкретно поставленные вопросы. Не бойтесь приводить примеры, думаю они из без вас знают. А вероятность что они будут читать тут крайне мала.

[IceJOKER]

Z: куда уж конкретнее-то? вы знакомы с php? если да, то вам должно быть известно, что неотфильтрованные входящие данные - ЗЛО!
Прочитайте про sql injection, xss

[Z]

IceJOKER: При чем тут xss? В общем ожидаемо от вас, палкой по воде.

[Z]

Анатолий K: Про drop я знаю (вы не учли что если этот запрос разрешен для пользователя). Но какими функциями php можно снести все файлы?

[Z]

Опять же если есть права. Вы много видели сайтов где на все файлы права 777, и пользователь web имеет права на удаление и создание директорий? Я просто хотел узнать что это за чудо строчка которая "может нахрен снести весь сайт или дать полный доступ злоумышленнику". :)

[IceJOKER]

Z: ну ждите ответов после оскорбления ))
вы думаете XSS безобидны? ну раз уж вы знаете что да как, то используйте эти знания, чтоб предотвратить возможный взлом(атака или чего вы там опасаетесь )

[IceJOKER]

Z: умник, вы сами выше написали, что у другого был доступ к скрипту, значит он в курсе что и где находится и может за пару секунд хакнуть, если заранее внедрил код

[Z]

IceJOKER: Можно узнать где я вас оскорбил? Разве речь в моем вопросе идет о xss? Вы даже не разобрались в сути вопроса и ответили абы что. Как только я попросил у вас объяснить подробнее вы просто ушли от ответа тыкая какие-то xss, скули сомневаться в моих знаниях php и т.п. Разве вопрос был о защите кода на наличие иньекций, фильтрации входящих данных и xss?

[IceJOKER]

Z: выше я привел пример кода дабы не быть голословным.
я понял ваш вопрос в общем - как защитить скрипт от чувака, который имел доступ к этому скрипту и знает что да как.

[Z]

IceJOKER: Немного не так вы меня поняли. У меня backup сайта, там тысячи скриптов ( стоит cms ), и десятки тысяч файлов. Где-то может лежать шелл или бекдор.

[IceJOKER]

Z: так я вас и понял, еще сверху предупредил вас о том, что вам могут навредить не только shell-ом, но и SQL Inj и XSS и т.п.

Answer 2

[kompi]

По логам запросов, когда сайт развёрнут и работает, выявить подозрительную активность. Дальше дело техники отследить всю цепочку.

Comments

[Z]

Ну мониторить запросы и смотреть на подозрительную активность это понятно. Но это если он зайдет на шелл и не подчистит за собой логи. Нужно выявить или просканировать файлы до перезапуска ресурса. Дабы исключить возможность. Возможно даже запретить или мониторить исполнение опасных функций, в 2009 году в журнале Хакер читал статью где описывались опасные функции PHP которые лучше запретить, и разбирались шеллы, к сожалению журналы остались на старом месте жительства а в интернете данной статьи почему то нет.

[kompi]

В чём трудности? Опасных функций по пальцам пересчитать. Находим обычным поиском.

Answer 3

[Владимир Лучанинов]

https://yandex.ru/promo/manul/