wHiTe
09-02-2010, 13:37
tak, wiem że jest dużo postów na ten temat, studiuje wszystko od dwóch dni ale pomimo prób usunięcia wirusa on dalej 'gdzieś siedzi'..
jak wiadomo, na końcu większości plików *.php *.html dopisane były linijki z <iframe> kierujące do innych stron, wszystkie usunąłem lecz NOD32 na innych komputerach wciąż pokazuje, że strona ma wirusa.
znalazłem też na którymś z for plik, który automatycznie odnajduje 'zakażone' pliki i usuwa z nich iframe:
<?php
$kasuj = 1; #jezeli chcesz tylko informacje o zakazonych plikach, bez usuwania iframe ustaw na 0
$folder = '.'; #wpisz tutaj nazwe przeszukiwanego folderu, kropka onacza wszystkie foldery
function ListFiles($dir) {
if($dh = opendir($dir)) {
$files = Array();
$inner_files = Array();
while($file = readdir($dh)) {
if($file != "." && $file != ".." && $file[0] != '.') {
if(is_dir($dir . "/" . $file)) {
$inner_files = ListFiles($dir . "/" . $file);
if(is_array($inner_files)) $files = array_merge($files, $inner_files);
} else {
$type=stristr($file, '.');
if($type == '.php' OR $type == '.html' OR $type == '.tpl' OR $type == '.js' OR $type == '.htm')
array_push($files, $dir . "/" . $file);
}
}
}
closedir($dh);
return $files;
}
}
$pattern="/<iframe src=\".*\" width=1 height=1.*\"><\/iframe>/";
foreach (ListFiles($folder) as $key=>$file){
echo "<span style=\"font-family:arial;font-size:14px;font-color:black;display:block;margin-left:5px;margin-top:20px;\">Sprawdzam plik <b>".$file ."</b></span>";
$contents=@file_get_contents($file);
$ncontents=preg_replace($pattern, "", $contents, -1, $count);
if($count != '0')
{
if($kasuj == 1)
if(@file_put_contents($file, $ncontents))
echo "<span style=\"font-family:arial;font-size:14px;font-color:#800000;display:block;margin-left:50px;font-weight:bold;\">Znaleziono i <font color=\"red\">pomyslnie skasowano</font> <b>iframe</b> z pliku <u>".$file."</u></span>";
else
echo "<span style=\"font-family:arial;font-size:14px;font-color:#800000;display:block;margin-left:50px;font-weight:bold;\">Znaleziono <font color=\"red\">lecz nie udało się usunac</font> <b>iframe</b> z pliku <u>".$file."</u></span>";
}
else
echo "<span style=\"font-family:arial;font-size:14px;font-color:black;display:block;margin-left:50px;\">Plik <b>".$file."</b> nie jest zainfekowany</span>";
}
?>
w prawdzie pokazało mi po tym, które pliki były zainfekowane ale dalej wyskakuje komunikat o wirusie..
skany na stronach pokazują, że niby wszystko jest ok:
http://www.UnmaskParasites.com/security-report/?page=www.studiodm.com.pl < komunikuje w stronie joomli i skrypcie do statystyk..
http://linkscanner.explabs.com/linkscanner/checksite.aspx?NS=ChkOnly&SRC=apps.explabs.com&CS=http://studiodm.com.pl < tu wszystko jest dobrze
także ktoś ma może jakiś jeszcze pomysł jak usunąć tego robaka?
btw: oczywiście hasło do serwera zmienione i nie zapamiętywane w programie (FileZilla)
bardzo proszę o pomoc.. :)
jak wiadomo, na końcu większości plików *.php *.html dopisane były linijki z <iframe> kierujące do innych stron, wszystkie usunąłem lecz NOD32 na innych komputerach wciąż pokazuje, że strona ma wirusa.
znalazłem też na którymś z for plik, który automatycznie odnajduje 'zakażone' pliki i usuwa z nich iframe:
<?php
$kasuj = 1; #jezeli chcesz tylko informacje o zakazonych plikach, bez usuwania iframe ustaw na 0
$folder = '.'; #wpisz tutaj nazwe przeszukiwanego folderu, kropka onacza wszystkie foldery
function ListFiles($dir) {
if($dh = opendir($dir)) {
$files = Array();
$inner_files = Array();
while($file = readdir($dh)) {
if($file != "." && $file != ".." && $file[0] != '.') {
if(is_dir($dir . "/" . $file)) {
$inner_files = ListFiles($dir . "/" . $file);
if(is_array($inner_files)) $files = array_merge($files, $inner_files);
} else {
$type=stristr($file, '.');
if($type == '.php' OR $type == '.html' OR $type == '.tpl' OR $type == '.js' OR $type == '.htm')
array_push($files, $dir . "/" . $file);
}
}
}
closedir($dh);
return $files;
}
}
$pattern="/<iframe src=\".*\" width=1 height=1.*\"><\/iframe>/";
foreach (ListFiles($folder) as $key=>$file){
echo "<span style=\"font-family:arial;font-size:14px;font-color:black;display:block;margin-left:5px;margin-top:20px;\">Sprawdzam plik <b>".$file ."</b></span>";
$contents=@file_get_contents($file);
$ncontents=preg_replace($pattern, "", $contents, -1, $count);
if($count != '0')
{
if($kasuj == 1)
if(@file_put_contents($file, $ncontents))
echo "<span style=\"font-family:arial;font-size:14px;font-color:#800000;display:block;margin-left:50px;font-weight:bold;\">Znaleziono i <font color=\"red\">pomyslnie skasowano</font> <b>iframe</b> z pliku <u>".$file."</u></span>";
else
echo "<span style=\"font-family:arial;font-size:14px;font-color:#800000;display:block;margin-left:50px;font-weight:bold;\">Znaleziono <font color=\"red\">lecz nie udało się usunac</font> <b>iframe</b> z pliku <u>".$file."</u></span>";
}
else
echo "<span style=\"font-family:arial;font-size:14px;font-color:black;display:block;margin-left:50px;\">Plik <b>".$file."</b> nie jest zainfekowany</span>";
}
?>
w prawdzie pokazało mi po tym, które pliki były zainfekowane ale dalej wyskakuje komunikat o wirusie..
skany na stronach pokazują, że niby wszystko jest ok:
http://www.UnmaskParasites.com/security-report/?page=www.studiodm.com.pl < komunikuje w stronie joomli i skrypcie do statystyk..
http://linkscanner.explabs.com/linkscanner/checksite.aspx?NS=ChkOnly&SRC=apps.explabs.com&CS=http://studiodm.com.pl < tu wszystko jest dobrze
także ktoś ma może jakiś jeszcze pomysł jak usunąć tego robaka?
btw: oczywiście hasło do serwera zmienione i nie zapamiętywane w programie (FileZilla)
bardzo proszę o pomoc.. :)