DevProTalk - Pogledajte određenu poruku - phpAV v1.1 (php-cli)

milos.z · 08. 01. 2010.

skoro sam imao prilike da sa drugom razradjenu ideju pretvorim u delo. ta ideja je bila da se napravi php skripta koja ce brzo da skenira dati direktorijum i sve unutar njega u potrazi za opasnim funkcijama koje koriste maliciozne (uglavnom php) skripte. skripta je napravljena i sa lakocom se mogu dodavati ili oduzimati funkcije za kojima se traga kao i fajlovi koji ce biti skenirani. u sledecoj verziji (trenutnoj) dodata je i mogucnost pracenja imena fajlova u potrazi za 'sumnjivim' imenima (c99, r57, locus7...).

skripta je radjena u php-cli i zahteva pokretanje iz komandne linije gde nakon zavrsenog skeniranja ispise statistiku (broj skeniranih fajlova, broj nadjenih opasnih funkcija, vreme koliko je bilo potrebno da se odredjeni direktorijum skenira...). nakon zavrsenog skeniranja, u koliko je nadjena opasna funkcija, fajl ce se pojaviti u istom direktorijumu kao i skripta gde ce biti ispisani logovi skeniranja (u kom fajlu je opasna funkcija nadjena, koji red i ceo taj red), u koliko ne bude nadjena ni jedna opasna funkcija, nece se pojaviti log fajl.

izgled statistike:

Kôd:

user@host:~/Desktop$ ./phpAV-v1.1.php /opt/lampp/htdocs/
phpAV-v1.1
Milos Zivanovic [milosz.security@gmail.com]
Dir: 					/opt/lampp/htdocs/
Dirs scanned: 				92
Files scanned: 				371
Files with dangerous functions found: 	11
Dangerous functions detected: 		24
Suspicious files detected: 		1
Time taken: 				10.68754 seconds
user@host:~/Desktop$

izgled log fajla:

Kôd:

WARNING: /opt/lampp/htdocs/c99shell.php
...
File: /opt/lampp/htdocs/c99shell.php
...
Line: 2440 |    eval($eval);
...

skripta moze pomoci administratorima u protekciji njihovih servera, odnosno brzom skeniranju odredjenog direktorijuma u potrazi za opasinm funkcijama sto moze mnogo olaksati pronalazenje opasnih skripti na serveru.

skripta je za sad testirana samo na linuxu (ubuntu karmic koala), ali u buducem razvoju je planirano testiranje i sirenje na windows platformu

link do skripte:

Kôd:

http://www.packetstormsecurity.org/web/phpav-1.1.txt

pomoc, saveti, problemi: postujte u ovom thread-u ili saljite privatnu poruku

08. 01. 2010.	#1
milos.z novi član Datum učlanjenja: 08.01.2010 Poruke: 3 Hvala: 0 4 "Hvala" u 1 poruci	phpAV v1.1 (php-cli) skoro sam imao prilike da sa drugom razradjenu ideju pretvorim u delo. ta ideja je bila da se napravi php skripta koja ce brzo da skenira dati direktorijum i sve unutar njega u potrazi za opasnim funkcijama koje koriste maliciozne (uglavnom php) skripte. skripta je napravljena i sa lakocom se mogu dodavati ili oduzimati funkcije za kojima se traga kao i fajlovi koji ce biti skenirani. u sledecoj verziji (trenutnoj) dodata je i mogucnost pracenja imena fajlova u potrazi za 'sumnjivim' imenima (c99, r57, locus7...). skripta je radjena u php-cli i zahteva pokretanje iz komandne linije gde nakon zavrsenog skeniranja ispise statistiku (broj skeniranih fajlova, broj nadjenih opasnih funkcija, vreme koliko je bilo potrebno da se odredjeni direktorijum skenira...). nakon zavrsenog skeniranja, u koliko je nadjena opasna funkcija, fajl ce se pojaviti u istom direktorijumu kao i skripta gde ce biti ispisani logovi skeniranja (u kom fajlu je opasna funkcija nadjena, koji red i ceo taj red), u koliko ne bude nadjena ni jedna opasna funkcija, nece se pojaviti log fajl. izgled statistike: Kôd: user@host:~/Desktop$ ./phpAV-v1.1.php /opt/lampp/htdocs/ phpAV-v1.1 Milos Zivanovic [milosz.security@gmail.com] Dir: /opt/lampp/htdocs/ Dirs scanned: 92 Files scanned: 371 Files with dangerous functions found: 11 Dangerous functions detected: 24 Suspicious files detected: 1 Time taken: 10.68754 seconds user@host:~/Desktop$ izgled log fajla: Kôd: WARNING: /opt/lampp/htdocs/c99shell.php ... File: /opt/lampp/htdocs/c99shell.php ... Line: 2440 \| eval($eval); ... skripta moze pomoci administratorima u protekciji njihovih servera, odnosno brzom skeniranju odredjenog direktorijuma u potrazi za opasinm funkcijama sto moze mnogo olaksati pronalazenje opasnih skripti na serveru. skripta je za sad testirana samo na linuxu (ubuntu karmic koala), ali u buducem razvoju je planirano testiranje i sirenje na windows platformu link do skripte: Kôd: http://www.packetstormsecurity.org/web/phpav-1.1.txt pomoc, saveti, problemi: postujte u ovom thread-u ili saljite privatnu poruku