вирус прописался во все файлы

268

dspu

27 января 2012, 09:55

1344

вирус прописался во все php файлы на сервере

кусок кода одинаковый, прописан во всех .php файлах

возможно ли удалить его через командную строку linux ?

523

Den73

27 января 2012, 10:02

#1

возможно но лучше из бэкапа ибо мало ли чего еще добавили

I

28

ipmo

27 января 2012, 10:13

#2

dspu:
вирус прописался во все php файлы на сервере
кусок кода одинаковый, прописан во всех .php файлах
возможно ли удалить его через командную строку linux ?

с линух серверами не очень, но лучше не просто удалить, а узнать откуда он там появился (а то можно так вечно удалять)

M

49

mrcloud

27 января 2012, 10:16

#3

Нужно восстановить из бекапа и срочно искать дыру. или он там снова появится

http://spicysales.ru (http://spicysales.ru) - заработок для тематических кулинарных сайтов.

I

28

ipmo

27 января 2012, 10:21

#4

mrcloud:
Нужно восстановить из бекапа и срочно искать дыру. или он там снова появится

Бекап из чего и чего (SQL или PHP)? Может человек скрипты дорабатывает под свои нужды.

822

Andreyka

27 января 2012, 10:45

#5

Мало восстановить из бекапа

Надо еще посмотреть через что взломали и закрыть лазейку

Не стоит плодить сущности без необходимости

268

dspu

27 января 2012, 11:32

#6

dspu:
возможно ли удалить его через командную строку linux ?

мда, какой вопрос, такой и ответ получил :o

спрошу иначе: как удалить этот одинаковый код?

P.S. понятно, что сначала бекдор надо устранить, а потом уже ковырять файлы и бекапы

R

180

Алексей

27 января 2012, 12:04

#7

Стучите поможем!

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov

M

235

madoff

27 января 2012, 13:16

#8

dspu:
вирус прописался во все php файлы на сервере
кусок кода одинаковый, прописан во всех .php файлах
возможно ли удалить его через командную строку linux ?

http://rasw.us/?p=160

1

Администратор Linux,Freebsd. построения крупных проектов.

83

winnt

27 января 2012, 13:28

#9

Тоже недавно была такая проблема на нескольких старых сапосайтах на joomla, лазейку не нашел, но помог этот скрипт:

<?php

$root  =  $_SERVER['DOCUMENT_ROOT'];

$search = 'eval'; //строка, которую нужно найти в каждом файле и заменить на ''

$thisfile = '123.php'; //чтобы в процессе не заменить искомую строку в этом же файле

function find_and_replace($dir,$search,$thisfile)

{



$new_dir = null;

$dir_files = opendir($dir);

    while(false !== ($file = readdir($dir_files)))

    {



        if($file != '.' && $file != '..')

        $new_dir[] = $dir."/".$file;

    }



        if($new_dir)

        foreach($new_dir as $check )

        {

              if((is_file($check)) && (basename($check) !== $thisfile)) {

                $handle = fopen($check, "rb");

                $contents = '';

                while (!feof($handle)) {

                  $contents .= fread($handle, 8192);

                }

                fclose($handle);

                if (strpos($contents,$search) !== false) {

                    $file = fopen ($check,"w+");

                    $str = str_replace($search,'',$contents);

                    fputs($file, $str);

                    fclose ($file);

                    echo $check."<br>";

                    }

              }

              elseif(is_dir($check))

              find_and_replace($check,$search,$thisfile);

        }

}

find_and_replace($root,$search,$thisfile);

А потом подправить php.ini:

register_globals=Off

safe_mode=Off

allow_url_fopen=Off

allow_url_include=Off

disable_functions=show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open

1

268

dspu

27 января 2012, 13:40

#10

winnt, спасибо, работает (правда, только в директории сайта)

madoff, виснет, возможно из-за кавычек внутри искомой строки...

в случае с php \' помогает

Маркетинг для шоколадной фабрики. На 34% выше средний чек

Курс биткоина превысил $50 тысяч