Поиск и Замена строк - удаление вредоносного кода

millincoln, не проще дыру залатать, чем каждый раз искать код?

Чаще всего этот код в файлах index.php, index.html и в файле шаблона.

а как можно залатать?

также это появилось в тот день, когда я обратился к хостеру по ождному вопросу, они спросили у меня данные по root-доступу - я дал. и спустя несколько часов, появился этот код (сайт на друпале стал давать сбои). Да поражает index, menu, header.

Богдан

Искать примерно так:

а что за хостер?

у нас для поиска вредоносного кода используется iscanner, попробуйте: http://iscanner.isecur1ty.org/

> а как можно залатать?

почистить компьютер от вирусов. в 99% случаев такое бывает, когда трояны крадут пароли от total commander`а и других фтп-клиентов

На правах офтопа - и как оно в деле (iScanner)?

спасибо за советы, ребята!

GluKoza, буду пробовать щас.

jahost, спасибо тоже буду щас юзать.

странно, что Нод не заорал, щас пересканировал все, нашел троянов, скорее свего подгруженных с CLICK-SAPE.COM.

а поводу такой шняги, как, например, подгрузка вирусов с click-sape.com и ему подобных, если увидите - такое - сразу бегите к вебмани-киперу и чекаете, чтобы не скоммуниздили кровно нажитые деньги, пока не поздно и чекайте на вирусы.

щас пока жду ответа с арбитража вебмани, а вдруг получится еще вернуть:(

Pavel.Odintsov, примерно так:

много false positives из-за base64, использующейся во многих скриптах, но php-шеллы ищет на ура.

Если у Вас файлы на ПК, Вам будет полезна программка:

http://ua-hosting.com.ua/work/instext.rar

instext позволит Вам заменить текст сразу во многих файлах.

Нужно:

- полечить вирусы у себя на ПК

- изменить пароли / логины фтп, чтоб троян после опять не внес вредоносный код

- полечить файлы у себя на ПК, залить исправленные файлы без вредоносного кода на сервер

Только после этого опять обращаться к зараженному сайту, иначе есть вероятность, что троян опять попадет на Ваш ПК (если Вы обратились к сайту, когда на нем оставался вредоносный код).

Также во избежание таких ситуаций рекоммендую не пользоваться Total Commander и т.п. Это не фтп-клиенты и поскольку они очень распространенны - с них часто трояны вытягивают данные для доступа.

Специализированным FTP-клиентом является CuteFTP, его и рекоммендую использовать.

Приятного дня!

Sed может исправлять это.

или вот небольшой скрипт для питона

переход со строки на строку стандартным \n

# -*- coding: utf-8 -*-
# Python
import os, sys, re

mydir= './' # Укажите тут полный путь до директории
pat=['fitg39hde\ngf973df\n\n'] # Укажите паттерн
repl='' # Чем заменять
ext=['.html','.php','.htm','.xhtml','.shtml','.js'] # Типы файлов для изменения.

def rsinf(path):
   tmp=path+'~~~'
   input = open(path)
   output = open(tmp,'w')
   s=input.read()
   outtext = s
   for d in pat:
      if s.find(d) > -1:
         #print('"'+d+'" found')
         outtext = outtext.replace(d,'')
   output.write(outtext)

   output.close()
   input.close()
   os.rename(path, path+'.bak')
   os.rename(tmp,path)
   print(path+" done...")
                                                      
def fun(dummy, dirr, filess):
    for child in filess:
        if os.path.splitext(child)[1] in ext and os.path.isfile(dirr+'/'+child):
            rsinf(dirr+'/'+child)
os.path.walk(mydir, fun, 3)

Учтите трогать будет все файлы с окончанием из списка ext