Прощай GB Top и GB CJ

Нжно рекурсивно обойти все папки в поиске .htaccess файлов и изучить их
и искать AddType application/x-httpd-php дальше идут расширения файлов которым присваивается ф-ции php скриптов...
в результате может .bak,txt,ini и тп файлы содержать аплоадер говна.
Которое может быть перетянуто на новый чистый хост - и с помощью которого загружаются инклудеры экспов и тп.

Одни хтаксесы много не дадут. Я искал вот так:

Код: [развернуть]

egrep -rno 'uploader|FILE UPLOAD|\"\; \#root|AddHandler|PathDenyFilter|ftpaccess|AddType application\/x-httpd-php' .

и еще по многим ключам из отловленных файлов. Это если есть SSH. Если нет, то то же самое в PHP "обертке" (просьба прогерам не смеяться, как сумел, так и сваял)::

Код: [развернуть]

<?php /*                                             WARNING!!! Don't check many files at once, use seperate search by folders or group of folders! You can overload the server and get "big thanks" from your hoster. Output format: path/file:pattern_line_number:pattern You can insert your own codes between " grep -rтo '(  and  )' * ". with   |  delimiter. More info about RegExp in Russian: http://poplinux.ru/adv-bash/chapter-18.1.html If you find hacker's code - use own samples from him! */ $cmd = "egrep -rno 'uploader|FILE UPLOAD|\"\; \#root|AddHandler|PathDenyFilter|ftpaccess|AddType application\/x-httpd-php' ."; exec($cmd, $results); ?> <html> <head> <title>Seach suspect code</title> </head> <body> <table align="center" width="1000" border="0"> <tr><td> <b><center>This files are suspect:</center><b> </td></tr> <tr><td> <?php for ($i = 1;(strlen($results[$i])>0); $i++) { printf("<center> <textarea style=\"text-align:left;font-size:14px;\" cols=\"120\" rows=\"1\" >{$results[$i]}</textarea><br><br>"); } ?> </div></td></tr> </table>    </body>       </html>

Можно и нужно еще поискать и глазиками отсмотреть недавно измененные файлы:

Код: [развернуть]

find . \( -name \"*.php\" -or -name \"*.dat\" -or -name \"*.htm\" -or -name \"*.html\" -or -name \"*.phtml\" -or -name \"*.shtml\"\) -type f -size +2k -mtime -10 -exec ls -ltB {} \;

или в PHP:

Код: [развернуть]

<?php /************    Утилита поиска файлов на сервере без SSH доступа                                средствами операционной системы. OS: *NIX systems (Unix, Linux) Ищет файлы заданных типов, размером больше заданного (+14k - размером больше 14кб) и измененные не позже заданного времени. Цель - поиск вебшелов, визуальная проверка измененных в последнее время файлов и т.п. Применение: загрузить в корневой каталог сайта и запустить файл: http://URL/search.php *************   Если у вас есть SSH доступ, ***************** то можно напрямую выполнить команду в командной строке : find . \( -name \"*.php\" -or -name \"*.dat\" \) -type f -size +16k -mtime -10 -exec ls -ltB {} \; где *.dat и *.php   - типы файлов. Можно задавать и больше, добавляя: -or -name \"*.type\" перед  \) -size +16k    - файлы размером больше 16кб -mmin -7200    - измененные за последние 7200 минут (сутки = 1440 минут) ,или равноценно -mtime -10    - измененные за последние 10 дней Это стандартные *NIX'совые команды. Разумеется, можно искать любые файлы любого типа. Подробнее смотри команду "find" в *nix системах. **************                                                     *****************/ $cmd = "find . \( -name \"*.php\" -or -name \"*.dat\" -or -name \"*.htm\" -or -name \"*.html\" -or -name \"*.phtml\" -or -name \"*.shtml\"\) -type f -size +2k -mtime -10 -exec ls -ltB {} \;"; exec($cmd, $results); ?> <html> <head> <title>Search last changed files</title> </head> <body> <table align="center" width="1000" border="0"> <tr><td> <b><center>FOUND CHANGED FILES:</center><b> </td></tr> <tr><td><div style="text-align:left;font-size:14px;"> <?php for ($i = 1;(strlen($results[$i])>0); $i++) { printf(" {$results[$i]}<br>"); } ?> </td></tr> </table>    </body>       </html>

Нашел такую херню вот:
[root]# egrep -rno 'uploader|FILE UPLOAD|\"\; \#root|AddHandler|PathDeyFilter|ftpaccess|AddType application\/x-httpd-php' .
./.bash_history:13:FILE UPLOAD
AddHandler
PathDenyFilter
ftpaccess
./.bash_history:14:FILE UPLOAD
ftpaccess
./.bash_history:15:FILE UPLOAD
ftpaccess
./.bash_history:16:FILE UPLOAD
ftpaccess

Что-то есть?

Нет. Посмотри файл .bash_history , это обычный текстовый файл в папке /root , в нем храниться история выполненных в консоли команд, типа лог. Я здесь мало ключей дал. Попробуй еще так:
[code hidden]
cd /
egrep -rno 'uploader|FILE UPLOAD|\"\; \#root|AddHandler|PathDenyFilter|ftpaccess|Ly8k|x4cO|7b1t|JGF1|eJzl|eval\(gzinflate\(base64_decode|idz=|passthru\(\"uname -a\"|JGZp|JGNo|name=\"y_key|a30514|str=\"60!115!99!114!105|fromCharCode\(105,109|charset=cp866|find config|act=filemanager|href=\?ac=navigation|parent.window.opener|clayaim.com' .

По ключам типа Ly8k|x4cO|7b1t может найти и нормальные закодированные ионкубом файлы и т.п., по моему в admin.php gb сиджа что-то такое было - но это уже надо по месту смотреть. С гб сиджом проще - скачать последний с сайта и проверить его тоже. Если совпадают, то все нормально. Но я на всякий случай гебешные admin.php тоже снес заодно с мастерсами. На всякий случай. Пусть пока так стоят, пока полностью не восстановлюсь, а потом все равно скрипт менять надо.