Подскажите сканнер

[Псих]

Добрый день друзья.
Заинтересовался таким вопросом.
Есть виртуальный хостинг с сайтом. На аккаунте есть возможность с помощью ssh запускать приложения C++ и процессы.
Существует ли какой-либо сканнер, способный выявлять скриптовые бэкдоры, скрытые в недрах скриптов?

ЗЫ. Если ошибся разделом, перенесите плз.

Freebsd 6.2

[Plague]

переношу редиректом на Пингвинятник.

модераторам: пускай редирект в Безопасности остается, ибо и по одному и по другому пункту проходит

[Hubbitus]

Для понимания того "как ломают" советую почитать сначала http://antichat.ru/ (http://old.antichat.ru/) и http://www.security-teams.net/ , ну и конечно же http://www.securitylab.ru/

Неплохая статься на эту тему http://hostinfo.ru/articles/security/rubric157/1240/

Рекомендации по безопасности сайтов, есть у Касперского на форуме http://forum.kaspersky.com/index.php...0&#entry442860

А вот собственно по поиску уязвимостей и софту для этого, очень многие рекомендуют XSpider - http://ptsecurity.ru/ , продукт не бесплатный, но один из лучших в своем роде, как говорят. Признанный лидер, на сколько я понимаю. Имеется и онлайн-версия - http://online.xspider.ru/

Конечно есть и аналоги, в том числе бесплатные, можешь глянуть и попробовать бесплатный http://www.accessdiver.com/

[Псих]

Hubbitus, спасибо за ответ!
Я спрашивал немного об ином софте.

Есть сайт с сотнями php-файлов. Хотелось бы найти утилиту, которая сможет просканить их и выявить среди них спрятанные php-бекдоры, позволяющие управлять сайтом.

[Hubbitus]

Так Xspider ищет и подобные уязвимости в том числе, только в основном извне конечно.

[Plague]

Цитата:

Сообщение от Псих

Есть сайт с сотнями php-файлов. Хотелось бы найти утилиту, которая сможет просканить их и выявить среди них спрятанные php-бекдоры, позволяющие управлять сайтом.

эмммм... извиняюсь за дурацкий вопрос: а локальной копии этих самых php-файлов никто не догадался перед загрузкой сохранить?
хотя на самом деле мы немного отвлеклись от сабжа темы, это один из вариантов решения вопроса, но в вопросе несколько другое

[Hubbitus]

Цитата:

Сообщение от Псих

Существует ли какой-либо сканнер, способный выявлять скриптовые бэкдоры, скрытые в недрах скриптов?

А тут я думаю чтобы убедиться лучше просто все файлы (например их md5-суммы) сравнить с бакапом до взлома, чтобы быть спокойным и все.

Вроде бы все нормальные хостеры (да и сами должны наверное) делают их ежедневно.

[Plague]

справочник по FreeBSD Родерика Смита:
Tripwire (ports/security) - основана на вычислении контрольных сумм важных системных файлов и последующей сверке таблиц с существующим. [другими словами нечто схожее с AVP-inspector и AIDS-Test (не знаю существуют ли они ныне. Но ее нужно запускать ДО того как поломали прим. Plague].
AIDE - аналог
clog - регистрирует информацию которая обычно не фиксируется для сетевых соединений. Сама по себе эта программа не является средством обнаружения вторжений но ее можно использовать вместе с утилитами мониторинга журнальных файлов, такими как logcheck или SWATCH для выявления подозрительной деятельности в системе.
chkrootkit - выявляет наличие на компьютере известных утилит, предназначенных для взлома учетки рута. Запустите эту программу если Tripware еще не инсталлирована и есть подозрение что компьютер взломан

далее по списку: fwlogwatch, logcheck, Snort, SWATCH, YAFIC.
по ним описалово перепишу позже, щас кино охота поглядеть

[Псих]

Цитата:

Сообщение от Plague

chkrootkit - выявляет наличие на компьютере известных утилит, предназначенных для взлома учетки рута

Такое мы знаем, только на сервере нету рута. есть обычный виртуальный хостинг с некоторыми привелегиями. поэтому о полноценном рутките речь не идет. только о скриптовых бекдорах.

[Plague]

Арахис в зубы и сравнивать локальную копию с серверной,
больше ниче при таких раскладах посоветовать не могу.
любая из вышеприведенных мной софтин права рута требует..

[Hubbitus]

Если бы весь сервер был, то понятно дело, по расследованию вторжения можно порекомендовать вот эту подборку описаний http://rusmafia.org/linux/security-check-apps

Правда про "арахис в зубы" не очень понял, что имелось ввиду? Не вручную же сравнивать вы все предлагаете? Я имел ввиду сделать рекурсивный diff директории и сразу посмотреть все изменения на предмет желательных/нежелательный, своих/инородных. И все в общем-то.

[Plague]

Цитата:

Сообщение от Hubbitus

Не вручную же сравнивать вы все предлагаете?

Арахис умеет сравнивать не только файлы, но и директории. открываем директорию локальной копии, открываем директорию того, что на сервере. через некоторое время видим что изменено, что - нет.. далее - щелчок по измененной паре и открывается уже сравнение, собственно пары.
мне для сравнения изменений движка воблы достаточно около часа времени, а файлов там - 733 штуки в "родном" архиве на данный момент)

зы. тож самое умеет делать Тотал коммандер через функцию синхронизации каталогов (есть там галка "сравнивать по содержимому")

[Hubbitus]

Цитата:

Сообщение от Plague

Арахис умеет сравнивать не только файлы, но и директории.

Ой. я про такую программу не слышал, сори. Я думал имеются ввиду орешки

[Plague]

она правда не никсовая.., так же как и тотал командер но все ж такие вещи удобней разбирать в графическом фейсе, нежели в текстовом (diff тот же)
просто уж настолько известна среди моих знакомых, что я даж и не подумал, что уточнять надо .

а под никсами тож есть неплохая сравнивалка каталогов, вроде тоже умеет по содержимому сравнивать. из-под Krusader'а она у меня под KDE запускается, а является его частью, или внешней - не помню..
завтра на работе гляну - допишу сюда

добавлено на сл. день:
да, в Крусадере опция сравнения есть. хотя, конечно, Психу такой вариант тож не подойдет , это я для целостности картины посмотрел

[Hubbitus]

Ну не знаю, по мне так удобнее стандартный diff записать в файл, а потмо по нему в Midnight Commander ходить с помощью виртуальной файловой системы. Все те же подсветки и прочее имеется... Как-то я не особо сторонник гуев всяких, особенно в простых задачах. Особенно, если это на сервере предполагалось делать по тому же ssh (ну чтобы не качать все туда-сюда лишний раз)...