Удаляем вредоносный код (base64...) со своих сайтов.

(Ответов: 41, Просмотров: 14688)
Страница 1 из 5 123 Последняя
  1. You shall not pass. Ага. Аватар для Гендальф Серый
    • Регистрация: 02.02.2013
    • Сообщений: 1,184
    • Репутация: 1512
    • Webmoney BL: ?
    Золотой пост
    Господа, много тем поднимается с просьбой помощи по борьбе с base64. Чтобы облегчить вам поиск, а так же помочь в решении данной проблемы - кидаю сюда универсальный скрипт, который изначально писался для борьбы с base64, однако подходит не только для этого, но и для:

    1. Поиска, удаления и замены любого текста во всех файлах на сервере.
    2. Удаления вредоносного кода из всех файлов на сервере.

    Суть работы скрипта: парсит все файлы на сервере на наличие определённого кода, и при условии совпадения - заменяет его пустой строкой. Тестировалось более чем на 15ти сайтах - работа идеальна.
    Код скрипта сохраняем в файлик delvir.php и льём в корень сайта. Затем в браузере набираем [site.ru]/delvir.php
    После выполнения будет подробненький отчёт, а в самом низу - результаты.

    Вот и сам код с подробными комментами:

    код скрипта


    PHP код:
    <?php 

    //gendalf_grey for webmasters.ru 

    $virus_text 'в эти кавычки пишем вредоносный код'
    $skip_files = array ('delvir.php'); 
    $del true
    $dir getcwd().'/'
    $num_infected 0
    function 
    dir_walk($callback$dir$types null$recursive false$baseDir '') {
        if (
    $dh opendir($dir)) { 
            while ((
    $file readdir($dh))!== false) { 
                if (
    $file === '.' || $file === '..') { 
                    continue; 
                } 
                if (
    is_file($dir $file)) { 
                    if (
    is_array($types)) { 
                        if (!
    in_array(strtolower(pathinfo($dir $filePATHINFO_EXTENSION)), $typestrue)) {
                            continue; 
                        } 
                    } 
                    
    $callback($baseDir$file); 
                }elseif(
    $recursive && is_dir($dir $file)) { 
                    
    dir_walk($callback$dir $file DIRECTORY_SEPARATOR$types$recursive$baseDir $file DIRECTORY_SEPARATOR);
                } 
            } 
            
    closedir($dh); 
        } 

    function 
    del_virus ($fdir$ffile

        
    $flag false
    $filename $fdir.$ffile
    echo 
    $filename
    if (!
    in_array($ffile$GLOBALS['skip_files'])){ 
    $handle fopen($filename"r"); 
    $fsize filesize($filename); 
    if (!
    $fsize){ 
    $contents ''
    }else{ 
    $contents fread($handle$fsize); 

    fclose($handle); 
    if (
    strpos($contents$GLOBALS['virus_text']) !== false) { 
    if ( 
    $GLOBALS['del'] ) { 
    $contents str_replace($GLOBALS['virus_text'], ''$contents); 
    $handle fopen($filename"wb"); 
    fwrite($handle,$contents); 
    fclose($handle); 
    echo 
    " - deleted"

    echo 
    " - infected"
    $GLOBALS['num_infected']++; 

    }else{ 
    echo 
    " - skipped"

    echo 
    "<br/>"
    }; 
    dir_walk('del_virus'$dir, array('php','php5','html','htm','shtml'), true$dir );
    echo 
    "Num infected = $num_infected <br/>"
    ?>
    [свернуть]
    • 34

    Спасибо сказали:

    aeneas(13.01.2015), AlexSok(01.02.2015), astass(14.12.2013), BlackMaN333(16.01.2014), Bposter(11.02.2014), bridge(06.03.2013), CuxpecT(30.08.2013), DarkAngel-163(06.03.2013), Denis Creative(06.03.2013), dev1(06.03.2013), dim(06.03.2013), Feanor184(10.02.2015), FenStan(14.04.2013), Glaidor(09.02.2014), InFakes(06.03.2013), klimweb(16.04.2013), kvins(14.12.2013), Landorn(06.03.2013), Megasonic(14.12.2013), mmi(23.03.2013), Mohatma(01.03.2014), ohmygod(08.10.2013), RaSKaLBaS(09.02.2014), redkim(27.03.2013), ridmal(05.10.2013), ruslang84(11.02.2014), Skemp(02.09.2015), Swede(06.03.2013), Terz(14.12.2013), thirus(24.12.2013), zelez(06.03.2013), Zsmile08(22.09.2017), Василий.(09.02.2015), Я Джин(06.05.2013),
  2. Гуру Аватар для Swede
    • Регистрация: 29.04.2011
    • Сообщений: 646
    • Записей в дневнике: 1
    • Репутация: 504
    • Webmoney BL: ?
    Вот это по нашему!
    Теперь сюда можно посылать толпы веб мастеров у кого сайты редиректит с мобил. Ты предотвратил появление новых тем и лишних объяснений. Спасибо тебе )
    Последний раз редактировалось Swede; 06.03.2013 в 01:43.
    Ушел в оффлайн бизнес, скоро буду)
    • 1

    Спасибо сказали:

  3. CPA Аватар для Landorn
    • Регистрация: 06.02.2012
    • Сообщений: 812
    • Репутация: 356
    • Webmoney BL: ?
    Очень вовремя, огромное спасибо за скрипт!
    • 1

    Спасибо сказали:

  4. Tux Аватар для InFakes
    • Регистрация: 21.06.2011
    • Сообщений: 697
    • Репутация: 186
    • Webmoney BL: ?
    Не знаю, в тему будет или нет, просто уже не первый раз сталкиваюсь с паблик-шаблонами, в футере которых есть по 7 исходящих ссылок (с сайта _wordpresse.ru). И уже не первый раз пользуюсь этим лекарством. Можно было бы добавить в шапку темы эту ссылку, пусть и лечит она немного от другого. Наверно можно немного изменить название темы и ТС либо модераторы будут помещать в первое сообщение такие "лекарства", которые со временем уходят на дальние страницы форума.
    • 0
  5. You shall not pass. Ага. Аватар для Гендальф Серый
    • Регистрация: 02.02.2013
    • Сообщений: 1,184
    • Репутация: 1512
    • Webmoney BL: ?
    Народ, кто будет использовать - отписывайтесь здесь, как что прошло. С какой скоростью была очистка, сколько очищено, всё ли корректно ( если вам не трудно ).
    • 0
  6. Гуру Аватар для genjnat
    • Регистрация: 30.11.2010
    • Сообщений: 2,885
    • Репутация: 2594
    • Webmoney BL: ?
    Стоило бы дополнить стартпост, вариантами вредоносного кода
    А то хз чего в эту стороку
    $virus_text = 'в эти кавычки пишем вредоносный код';
    писать. И так чтоб ненароком, родные файлы не покалечить
    • 1

    Спасибо сказали:

    CuxpecT(30.08.2013),
  7. You shall not pass. Ага. Аватар для Гендальф Серый
    • Регистрация: 02.02.2013
    • Сообщений: 1,184
    • Репутация: 1512
    • Webmoney BL: ?
    Да, пожалуй genjnat прав.
    Значит так: для тех, кто сомневается.
    В кавычки пишем ТОЛЬКО тот текст, который нужно удалить. Например:
    Вам нужно удалить текст 123456789, а файл состит из:
    987654321
    абабалвлаба
    3849982837
    123456789
    жжжлллоооо

    Следовательно, в кавычки вам нужно записать 123456789.
    • 0
  8. Гуру Аватар для genjnat
    • Регистрация: 30.11.2010
    • Сообщений: 2,885
    • Репутация: 2594
    • Webmoney BL: ?
    Гендальф Серый, мне (тьфу, тьфу, тьфу) пока ничего не нужно. Но просто, не дай бог случится - откуда мне знать код вируса, и что собственно искать этим скриптом?
    Я это имел в виду
    • 0
  9. Гуру Аватар для Swede
    • Регистрация: 29.04.2011
    • Сообщений: 646
    • Записей в дневнике: 1
    • Репутация: 504
    • Webmoney BL: ?
    Цитата Сообщение от genjnat Посмотреть сообщение
    откуда мне знать код вируса, и что собственно искать этим скриптом?
    Я это имел в виду
    Мне приходилось чинить свои сайты и к сожалению не один раз. Обычно когда замечаешь что сайт взломали не составляет труда и за 5-10 минут определить где и что искать. А затем уже этот скрип пригодится.
    Ушел в оффлайн бизнес, скоро буду)
    • 0
  10. You shall not pass. Ага. Аватар для Гендальф Серый
    • Регистрация: 02.02.2013
    • Сообщений: 1,184
    • Репутация: 1512
    • Webmoney BL: ?
    genjnat, вот тут вы правы:
    Есть и простые черви, которые особо себя не маскируют, и увидеть их в коде страницы легко. Но есть и весьма интересные, которые маскируются под обычный html или php, прописываются в БД, htaccess. Такие найти - уже проблема.
    В данной теме - сам скрипт предназначен для тех, кто уже нашёл вредоносный код и точно знает, что удалять. Из нескольких файлов можно удалить и руками, скрипт же предназначен для пакетного удаления ( больше 10 заражённых файлов ). Из собственного опыта могу сказать, что если что-то подцепить, то это что-то обычно прописывается куда только можно. У последнего пациента в сумме было очищено более 1 000 000 файлов.
    • 0
Страница 1 из 5 123 Последняя

Похожие темы

Темы Раздел Ответов Последний пост
Где вы берете картинки и фото для своих сайтов?
Вопросы от новичков 36 02.01.2015 02:15
Аккаунты twitter для индексации своих сайтов
Услуги по SEO 5 27.01.2013 19:38
Несколько своих сайтов: мобильная тематика и туризм
Покупка продажа сайтов 6 12.06.2012 02:00
Продаю ссылки со своих сайтов (чаты).
Ссылки, статьи 0 16.02.2012 18:54
Удаляем вредоносный код (фрейм) из DLE сайта
Дайджест блогосферы 0 24.01.2011 21:30

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры