[Гендальф Серый]

Господа, много тем поднимается с просьбой помощи по борьбе с base64. Чтобы облегчить вам поиск, а так же помочь в решении данной проблемы - кидаю сюда универсальный скрипт, который изначально писался для борьбы с base64, однако подходит не только для этого, но и для:

1. Поиска, удаления и замены любого текста во всех файлах на сервере.
2. Удаления вредоносного кода из всех файлов на сервере.

Суть работы скрипта: парсит все файлы на сервере на наличие определённого кода, и при условии совпадения - заменяет его пустой строкой. Тестировалось более чем на 15ти сайтах - работа идеальна.
Код скрипта сохраняем в файлик delvir.php и льём в корень сайта. Затем в браузере набираем [site.ru]/delvir.php
После выполнения будет подробненький отчёт, а в самом низу - результаты.

Вот и сам код с подробными комментами:

код скрипта

PHP код:

<?php 

//gendalf_grey for webmasters.ru 

$virus_text = 'в эти кавычки пишем вредоносный код'; 
$skip_files = array ('delvir.php'); 
$del = true; 
$dir = getcwd().'/'; 
$num_infected = 0; 
function dir_walk($callback, $dir, $types = null, $recursive = false, $baseDir = '') {
    if ($dh = opendir($dir)) { 
        while (($file = readdir($dh))!== false) { 
            if ($file === '.' || $file === '..') { 
                continue; 
            } 
            if (is_file($dir . $file)) { 
                if (is_array($types)) { 
                    if (!in_array(strtolower(pathinfo($dir . $file, PATHINFO_EXTENSION)), $types, true)) {
                        continue; 
                    } 
                } 
                $callback($baseDir, $file); 
            }elseif($recursive && is_dir($dir . $file)) { 
                dir_walk($callback, $dir . $file . DIRECTORY_SEPARATOR, $types, $recursive, $baseDir . $file . DIRECTORY_SEPARATOR);
            } 
        } 
        closedir($dh); 
    } 
} 
function del_virus ($fdir, $ffile) 
{ 
    $flag = false; 
$filename = $fdir.$ffile; 
echo $filename; 
if (!in_array($ffile, $GLOBALS['skip_files'])){ 
$handle = fopen($filename, "r"); 
$fsize = filesize($filename); 
if (!$fsize){ 
$contents = ''; 
}else{ 
$contents = fread($handle, $fsize); 
} 
fclose($handle); 
if (strpos($contents, $GLOBALS['virus_text']) !== false) { 
if ( $GLOBALS['del'] ) { 
$contents = str_replace($GLOBALS['virus_text'], '', $contents); 
$handle = fopen($filename, "wb"); 
fwrite($handle,$contents); 
fclose($handle); 
echo " - deleted"; 
} 
echo " - infected"; 
$GLOBALS['num_infected']++; 
} 
}else{ 
echo " - skipped"; 
} 
echo "<br/>"; 
}; 
dir_walk('del_virus', $dir, array('php','php5','html','htm','shtml'), true, $dir );
echo "Num infected = $num_infected <br/>"; 
?>

[свернуть]

[Swede]

Вот это по нашему!
Теперь сюда можно посылать толпы веб мастеров у кого сайты редиректит с мобил. Ты предотвратил появление новых тем и лишних объяснений. Спасибо тебе )

[Landorn]

Очень вовремя, огромное спасибо за скрипт!

[InFakes]

Не знаю, в тему будет или нет, просто уже не первый раз сталкиваюсь с паблик-шаблонами, в футере которых есть по 7 исходящих ссылок (с сайта _wordpresse.ru). И уже не первый раз пользуюсь этим лекарством. Можно было бы добавить в шапку темы эту ссылку, пусть и лечит она немного от другого. Наверно можно немного изменить название темы и ТС либо модераторы будут помещать в первое сообщение такие "лекарства", которые со временем уходят на дальние страницы форума.

[Гендальф Серый]

Народ, кто будет использовать - отписывайтесь здесь, как что прошло. С какой скоростью была очистка, сколько очищено, всё ли корректно ( если вам не трудно ).

[genjnat]

Стоило бы дополнить стартпост, вариантами вредоносного кода
А то хз чего в эту стороку
$virus_text = 'в эти кавычки пишем вредоносный код';
писать. И так чтоб ненароком, родные файлы не покалечить

[Гендальф Серый]

Да, пожалуй genjnat прав.
Значит так: для тех, кто сомневается.
В кавычки пишем ТОЛЬКО тот текст, который нужно удалить. Например:
Вам нужно удалить текст 123456789, а файл состит из:
987654321
абабалвлаба
3849982837
123456789
жжжлллоооо

Следовательно, в кавычки вам нужно записать 123456789.

[genjnat]

Гендальф Серый, мне (тьфу, тьфу, тьфу) пока ничего не нужно. Но просто, не дай бог случится - откуда мне знать код вируса, и что собственно искать этим скриптом?
Я это имел в виду

[Swede]

откуда мне знать код вируса, и что собственно искать этим скриптом?
Я это имел в виду

Мне приходилось чинить свои сайты и к сожалению не один раз. Обычно когда замечаешь что сайт взломали не составляет труда и за 5-10 минут определить где и что искать. А затем уже этот скрип пригодится.

[Гендальф Серый]

genjnat, вот тут вы правы:
Есть и простые черви, которые особо себя не маскируют, и увидеть их в коде страницы легко. Но есть и весьма интересные, которые маскируются под обычный html или php, прописываются в БД, htaccess. Такие найти - уже проблема.
В данной теме - сам скрипт предназначен для тех, кто уже нашёл вредоносный код и точно знает, что удалять. Из нескольких файлов можно удалить и руками, скрипт же предназначен для пакетного удаления ( больше 10 заражённых файлов ). Из собственного опыта могу сказать, что если что-то подцепить, то это что-то обычно прописывается куда только можно. У последнего пациента в сумме было очищено более 1 000 000 файлов.