Это форк Vinaora Nivo Slider, пришлось переименовать, в силу требования JED. Даже старую версию качать можно было только с варезных сайтов, нашпигованную троянами. Зачем оно такое, согласитесь.
find . -print0 -name \*.js | xargs -0 grep -i iframe
/images/stories/story.php
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
grep -PiHrn 'eval\s*\(\s*base64_decode' .
grep -PiHrn 'base64_decode' .
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
find . -type f -name '*.php' -exec perl -pi -e 's/eval\(base64_decode\(\"DQp.*p9\"\)\)\;//g' '{}' \;
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
cd public_html
grep --help
grep -Fri 'любой_шаблон'
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Here are the suspicious parts of code found in this scan process :
In file ./tmp/com_virtuemart_update/components/com_virtuemart/assets/js/facebox.js-> we found 1 occurence(s) of Pattern #18 - IFRAME element
---> Details: "Found IFRAME element in code, please check if it's a valid code."
Line #: 261:
... <iframe scrolling="auto" marginwidth="0" width="'+width+'" height="' + height + '" frameborder="0" src="' + href + '" marginheight="0"></iframe>', klass)
}
function fillFaceboxFromImage(href, klass ...
--> ./tmp/com_virtuemart_update/components/com_virtuemart/assets/js/facebox.js is a file. It was last accessed: 2013-09-21T20:10:46+04:00, last changed: 2013-09-21T20:10:46+04:00, last modified: 2013-09-21T20:10:46+04:00.
File permissions:0600
In file ./tmp/com_virtuemart_update/components/com_virtuemart/assets/js/jquery-ui.min.js-> we found 1 occurence(s) of Pattern #18 - IFRAME element
---> Details: "Found IFRAME element in code, please check if it's a valid code."
Line #: 330:
... <iframe src="javascript:false;" class="ui-datepicker-cover" frameborder="0"></iframe>':"");b._keyEvent=false;return D},_generateMonthYearHeader:function(b,f,j,l,o,n,k,m){var p=this._get(b,"changeMonth ...
--> ./tmp/com_virtuemart_update/components/com_virtuemart/assets/js/jquery-ui.min.js is a file. It was last accessed: 2013-09-21T20:10:46+04:00, last changed: 2013-09-21T20:10:46+04:00, last modified: 2013-09-21T20:10:46+04:00.
File permissions:0600
In file ./tmp/com_virtuemart_update/components/com_virtuemart/assets/js/jquery.ui.datepicker.min.js-> we found 1 occurence(s) of Pattern #18 - IFRAME element
---> Details: "Found IFRAME element in code, please check if it's a valid code."
Line #: 74:
------
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Unior82 пишет: Несколько полезных ссылок, чтобы проверять шаблоны сайта wordpress, и сам сайт wordpress, на наличие вирусов.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Unior82 пишет: Несколько полезных ссылок, чтобы проверять шаблоны сайта wordpress, и сам сайт wordpress, на наличие вирусов.
Быстрый поиск шеллов в joomla, wordpress и dle (wp-conf.php, index_backup.php)
Если вы знакомы с ssh и командной строкой unix, и ваши сайты на joomla, wordpress, dle взломали в автоматическом режиме (обычно при этом появляются wp-conf.php, index_backup.php и .htaccess файлы с редиректами на index_backup.php), приведенный ниже список команд позволит вам быстро найти и удалить большую часть шеллов:
find . -name '*.php' -exec grep -l '$msg=@gzinflate(@base64_decode(@str_replace' {} \; > rem01.txt find ./images/ -name '*.php' > rem02.txt find . -name '*.php' -exec grep -l 'preg_replace("/\.\*/e","' {} \; > rem03.txt find . -name '*.php' -exec grep -l 'eval (base64_decode($_POST["php"]));' {} \; > rem04.txt find . -name '.htaccess' -exec grep -l 'android|midp|j2me|symbian|series' {} \; > rem05.txt find . -name '.htaccess' -exec grep -l 'google|ask|yahoo' {} \; >> rem05.txt find . -name '*.php' -exec grep -l 'if(@md5($_POST\["gif"\])' {} \; > rem06.txt find . -name 'index.php' -exec grep -l '$_REQUEST\[.*\]; eval' {} \; > rem07.txt find . -name '*.php' -exec grep -l '&& function_exists("getmxrr"))' {} \; > rem08.txt find . -name '*.php' -exec grep -l '<br/>Security Code: <br/><input name="security_code" value=""/>' {} \; > rem09.txt find . -name '*.php' -exec grep -l 'ncode(print_r(array(),1)),5,1).c),$c);}eval($d);' {} \; > rem10.txt find . -name 'index.html' -exec grep -l '<META HTTP-EQUIV="Refresh" CONTENT="0; ' {} \; > rem11.txt find . -name '*.php' -exec grep -l '= array("Google", "Slurp", "MSNBot"' {} \; > rem12.txt find . -name 'index_backup.php' > rem13.txt find . -name '*.jpg' -exec grep -l 'eval(base64' {} \; > rfix_jpg.txt
Что нужно сделать:
1. создайть файл find_shell.sh в директории сайта, скопируйте в него приведенный выше код
2. зайти на хостинг по ssh, перейти в директорию сайта
3. запустить скрипт командой sh find_shell.sh
в результате будут созданы файлы вида remXX.txt. Пустые можно удалить (значит шелла с данной сигнатурой у вас нет), а в непустых замените "./" на "rm -f ./"
проверьте список файлов в remXX.txt, может что-то из этого не стоит удалять? Например, вы могли разместить в каталоге "images" joomla какой-то свой скрипт, наподобие наложения watermark'а на фотографию
4. выполните команды
sh rem1.txt
sh rem2.txt
...
для каждого оставшегося remXX.txt файла
5. в файле rfix_jpg.txt будут JPG файлы, у которых в метаданных шелл. Их тоже надо почистить (либо через графический редактор, либо можно просто заменить в файле "eval" на "love"
6. теперь проверьте сайт скриптом AI-BOLIT на оставшийся вредоносный код.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.