Удаляем вредоносный код (base64...) со своих сайтов.

**anubarak** · 16.01.2014 01:12

Fatal error: Maximum execution time of 30 seconds exceeded in /home/anubarak/domains/сайт/public_html/delvir.php on line 16
что это значит?

**HelgerLEE** · 16.01.2014 02:24

anubarak, что превышено максимальное время исполнения скрипта (у вас 30 секунд, очевидно мало). На время подобных операций я ставлю, обычно, 300 секунд.

**SoUpI** · 09.02.2014 02:00

Интересно, спасибо

**RaSKaLBaS** · 09.02.2014 03:19

Спасибо за скрипт! В последнее время заражаются все php файлы. Когда зараженных было с десяток - еще куда не шло. А когда их сотни - вручную чистить проблемно.

Последняя проверка : Num infected = 445 , на проверку и удаление ушло секунд 20-30.

Пришлось отключить касперского, потому что он сам удалял вредоносный код из файла при сохранении delwir.php :)

Это просто чоткое решение, не нарадуюсь, спасибо еще раз!.

Гендальф, ты там нимбом еще потолок не чиркаешь?:))

PS: еще бы пост о том, как предотвратить последующее заражение и защитить свой хостинг/сервер - было бы просто невероятно суперски!

**MiranFroade** · 09.02.2014 13:11

RaSKaLBaS, а почему заражаются? в чем дырявость?

**RaSKaLBaS** · 10.02.2014 15:34

MiranFroade, А вот в этом еще не разобрался

Уж слишком зеленый в этих вопросах, а саппорт воду в ступе толчет и чёт морозится помогать и смотреть логи:)

**Bposter** · 11.02.2014 02:56

Велосипед уже придумали

и называется он ai-bolit

**RaSKaLBaS** · 11.02.2014 05:22

Bposter, Этот велосипед конечно очень отличен, но сам он вирусы и вредоносныцй код не удаляет. Им можно найти зараженные файлы, а дальше - вручную. Я как раз последнюю статью на блоге написал (блок в подписи). В нем упомянул и айболит, и Гендальфа и ссылку на данный пост и данный скрипт:)

**Bposter** · 11.02.2014 11:50

Сегодня провел эксперимент, для теста взял joomla, в index.php шаблона добавил произвольный набор чисел, этот же набор чисел указал для удаления в скрипте delvir.php, запустил скрипт, да действительно нашел скрипт набор цифр и удалил.

Вторая попытка, взял ссылку типа

Код HTML:

<a title="Веб мастер" target="_self" href="http://www.webmaster.ru" style="font-size:9px">Тест</a>

Разрезал код на пополам и каждую часть закодировал в Base64 (далее части раскидываются по скрипту и соединяются где надо для вывода ссылки), запустил скрипт delvir.php предварительно указав в переменную $virus_text код ссылки, результат 0 скрипт не нашел ссылку, указал скрипту только текст анкора результат тоже 0. Ссылка закодирована и спрятана была в модуле joomla

**ohmygod** · 11.02.2014 12:21

На клиентском сайте как-то нашел шелл, замаскированный под этот скрипт (собственно, от скрипта осталось только название и комментарий //gendalf_grey for webmasters.ru сверху)

	16.01.2014 01:12 #31
anubarak Гуру Регистрация: 06.04.2011 Сообщений: 579 Репутация: 29	Fatal error: Maximum execution time of 30 seconds exceeded in /home/anubarak/domains/сайт/public_html/delvir.php on line 16 что это значит? Постовые продаю ТУТ!. Работаю копирайтером тут. Решение для кинотрафика.
0 anubarak

	16.01.2014 02:24 #32
HelgerLEE Опытный Регистрация: 12.12.2009 Сообщений: 337 Репутация: 124 Webmoney BL: ?	anubarak, что превышено максимальное время исполнения скрипта (у вас 30 секунд, очевидно мало). На время подобных операций я ставлю, обычно, 300 секунд.
0 HelgerLEE

	09.02.2014 02:00 #33
SoUpI Студент Регистрация: 01.02.2014 Сообщений: 54 Репутация: 2	Интересно, спасибо
-1 SoUpI

	09.02.2014 03:19 #34
RaSKaLBaS Рекламное место сдается! Регистрация: 17.02.2012 Сообщений: 198 Репутация: 76 Webmoney BL: ?	Спасибо за скрипт! В последнее время заражаются все php файлы. Когда зараженных было с десяток - еще куда не шло. А когда их сотни - вручную чистить проблемно. Последняя проверка : Num infected = 445 , на проверку и удаление ушло секунд 20-30. Пришлось отключить касперского, потому что он сам удалял вредоносный код из файла при сохранении delwir.php :) Это просто чоткое решение, не нарадуюсь, спасибо еще раз!. Гендальф, ты там нимбом еще потолок не чиркаешь?:)) PS: еще бы пост о том, как предотвратить последующее заражение и защитить свой хостинг/сервер - было бы просто невероятно суперски! Raskalbas.com - на пути создания своей SEO империи...
0 RaSKaLBaS

	09.02.2014 13:11 #35
MiranFroade Дипломник Регистрация: 25.01.2014 Сообщений: 207 Репутация: 17	RaSKaLBaS, а почему заражаются? в чем дырявость?
0 MiranFroade

Удаляем вредоносный код (base64...) со своих сайтов.

Опции темы

Тэги топика:

Похожие темы

Где вы берете картинки и фото для своих сайтов?

Аккаунты twitter для индексации своих сайтов

Несколько своих сайтов: мобильная тематика и туризм

Продаю ссылки со своих сайтов (чаты).

Удаляем вредоносный код (фрейм) из DLE сайта

Тем:

Сообщений:

Пользователей:

Сейчас на сайте:

Вход

Сайт

Разделы

Прочее

Следите за нами

Витрина ссылок

У нас проходит

У кого попросить инвайт?

Золотые темы форума

Последние новости

Популярные темы

Информеры

	10.02.2014 15:34 #36
RaSKaLBaS Рекламное место сдается! Регистрация: 17.02.2012 Сообщений: 198 Репутация: 76 Webmoney BL: ?	MiranFroade, А вот в этом еще не разобрался Уж слишком зеленый в этих вопросах, а саппорт воду в ступе толчет и чёт морозится помогать и смотреть логи:) Raskalbas.com - на пути создания своей SEO империи...
0 RaSKaLBaS

	11.02.2014 02:56 #37
Bposter Гуру Регистрация: 16.01.2013 Сообщений: 500 Репутация: 18 Webmoney BL: ?	Велосипед уже придумали и называется он ai-bolit
0 Bposter

	11.02.2014 05:22 #38
RaSKaLBaS Рекламное место сдается! Регистрация: 17.02.2012 Сообщений: 198 Репутация: 76 Webmoney BL: ?	Bposter, Этот велосипед конечно очень отличен, но сам он вирусы и вредоносныцй код не удаляет. Им можно найти зараженные файлы, а дальше - вручную. Я как раз последнюю статью на блоге написал (блок в подписи). В нем упомянул и айболит, и Гендальфа и ссылку на данный пост и данный скрипт:) Raskalbas.com - на пути создания своей SEO империи...
0 RaSKaLBaS

	11.02.2014 11:50 #39
Bposter Гуру Регистрация: 16.01.2013 Сообщений: 500 Репутация: 18 Webmoney BL: ?	Сегодня провел эксперимент, для теста взял joomla, в index.php шаблона добавил произвольный набор чисел, этот же набор чисел указал для удаления в скрипте delvir.php, запустил скрипт, да действительно нашел скрипт набор цифр и удалил. Вторая попытка, взял ссылку типа Код HTML: <a title="Веб мастер" target="_self" href="http://www.webmaster.ru" style="font-size:9px">Тест</a> Разрезал код на пополам и каждую часть закодировал в Base64 (далее части раскидываются по скрипту и соединяются где надо для вывода ссылки), запустил скрипт delvir.php предварительно указав в переменную $virus_text код ссылки, результат 0 скрипт не нашел ссылку, указал скрипту только текст анкора результат тоже 0. Ссылка закодирована и спрятана была в модуле joomla
0 Bposter

	11.02.2014 12:21 #40
ohmygod Гуру Регистрация: 30.04.2011 Сообщений: 1,064 Репутация: 268 Webmoney BL: ?	На клиентском сайте как-то нашел шелл, замаскированный под этот скрипт (собственно, от скрипта осталось только название и комментарий //gendalf_grey for webmasters.ru сверху)
0 ohmygod

Темы	Раздел	Ответов	Последний пост
Где вы берете картинки и фото для своих сайтов?	Вопросы от новичков	36	02.01.2015 02:15
Аккаунты twitter для индексации своих сайтов	Услуги по SEO	5	27.01.2013 19:38
Несколько своих сайтов: мобильная тематика и туризм	Покупка продажа сайтов	6	12.06.2012 02:00
Продаю ссылки со своих сайтов (чаты).	Ссылки, статьи	0	16.02.2012 18:54
Удаляем вредоносный код (фрейм) из DLE сайта	Дайджест блогосферы	0	24.01.2011 21:30