Wirus dolepił IFRAME'a

[stat4seo]

Witam, łapcie skrypt który usuwa wszystkie (lub tylko informuje o potencjalnej infekcji) iframe, wg. podanego schematu czyli:

<iframe src="jakis_adres" width=1 height=1 inne_znaki"></iframe>

Skrypt zapisujemy do pliku jakas_nazwa.php i wgrywamy na serwer i odpalamy :-)

<?php
$kasuj = 1; #jezeli chcesz tylko informacje o zakazonych plikach, bez usuwania iframe ustaw na 0
$folder = '.'; #wpisz tutaj nazwe przeszukiwanego folderu, kropka onacza wszystkie foldery
function ListFiles($dir) {

if($dh = opendir($dir)) {

	$files = Array();
	$inner_files = Array();

	while($file = readdir($dh)) {
		if($file != "." && $file != ".." && $file[0] != '.') {
			if(is_dir($dir . "/" . $file)) {
				$inner_files = ListFiles($dir . "/" . $file);
				if(is_array($inner_files)) $files = array_merge($files, $inner_files); 
			} else {
							$type=stristr($file, '.');
							if($type == '.php' OR $type == '.html' OR $type == '.tpl')
				array_push($files, $dir . "/" . $file);
			}
		}
	}

	closedir($dh);
	return $files;
}
}

$pattern="/<iframe src=\".*\" width=1 height=1.*\"><\/iframe>/";

foreach (ListFiles($folder) as $key=>$file){
echo "<span style=\"font-family:arial;font-size:14px;font-color:black;display:block;margin-left:5px;margin-top:20px;\">Sprawdzam plik <b>".$file ."</b></span>";
	$contents=@file_get_contents($file);
	$ncontents=preg_replace($pattern, "", $contents, -1, $count);
	if($count != '0')
	{
	if($kasuj == 1)
	if(@file_put_contents($file, $ncontents))
	echo "<span style=\"font-family:arial;font-size:14px;font-color:#800000;display:block;margin-left:50px;font-weight:bold;\">Znaleziono i <font color=\"red\">pomyslnie skasowano</font> <b>iframe</b> z pliku <u>".$file."</u></span>";
	else
	echo "<span style=\"font-family:arial;font-size:14px;font-color:#800000;display:block;margin-left:50px;font-weight:bold;\">Znaleziono <font color=\"red\">lecz nie udało się usunac</font> <b>iframe</b> z pliku <u>".$file."</u></span>";

	}
	else
	echo "<span style=\"font-family:arial;font-size:14px;font-color:black;display:block;margin-left:50px;\">Plik <b>".$file."</b> nie jest zainfekowany</span>";

} 


?>

Skrypt listuje pliki, po czym szuka iframe o width i height ustawionym na 1, usuwa te ramki po czym próbuje zapisać zawartość pliku bez iframe.

edycja: plik szuka szkodliwego kodu, tylko w plikach z rozszerzeniem .html .php oraz .tpl. Jeżeli jeszcze gdzieś się dokleja, to proszę o informację.

Pozdrawiam!

[sebau]

zgadza się - na zapomnianym hostingu też to mialem - od doklejenia iframe - do konca pliku wszystko usuwał - takze strona przestawala dzialac - no i chyba lepiej niz gdyby miala infekowac innych userow.

[s4lc]

wykrada tez z prawdopodobnie outlooka, jeśli masz hasło do ftp takie jak do maila to potrafi skojarzyć

i jest po ptakach

[gordon]

Przyszła i na mnie kolej, a korzystam tylko z zalecanej wyżej FileZilli.

Do index.php dokleił się iframe, było to widać od razu, bo zniknęła dalsza część pliku i strona nie działała.

[sebau]

Hasełka do ftp zapisujcie na karteczce ja już tak na wszelki wypadek zaczelem robić

[mrbox]

https://vbeta.pl/2009/06/18/przestepcy-hand...mi-komputerami/

A tutaj jest prawdopodobna przyczyna tego zamieszania

[djurek]

Przyszła i na mnie kolej, a korzystam tylko z zalecanej wyżej FileZilli.

Do index.php dokleił się iframe, było to widać od razu, bo zniknęła dalsza część pliku i strona nie działała.

Mi google wyrzuciło 3 strony z serpów przez te wirusy jeb....

[PawełP]

edycja: plik szuka szkodliwego kodu, tylko w plikach z rozszerzeniem .html .php oraz .tpl. Jeżeli jeszcze gdzieś się dokleja, to proszę o informację.

Pozdrawiam!

do .js też dopisuje

im dłużej ma dostęp do serwera tym więcej plików zaraża, poza tym czaset tworzy plik .php w katalogu z grafikami (/images albo /photos - nie pamiętam)

[ravau]

Zachlastać się można, jakimś cudem zaatakował mi stronkę, której ftp dawno już nie używałem. 0.o

[Dominik23]

no nie, wszyscy mieli już taki atak na serw a ja jeszcze nie.. to nie sprawiedliwe

[Mex]

Skrypt bardzo fajny tylko z szerokością i długością mogłoby być uniwersalnie bo ja np mam width=173 height=101 ale mniejsza z tym mam inne pytanie żeby poprawnie usuwał plik musi być ustawiony na chmody 777 a to nie narazi mojej strony ?

[Helid]

Z pewnością to wina Total Comandera.

[Kamil Beniuk]

miałem taką mendę hurra.pl. z miesiąc sie zmagałem. doklejał kod do plikow html. programy do spywaru go nie chwytały

trafiłem na avasta a ze miał funkcje czyszczenia w DOSie przed wejściem do windowsa to go pokonał. polecam

[pies]

Nie zapamiętuj hasła w TC - wpisuj z palca - to pomaga

[Gość]

Ale inaczej jak ktoś ma parę kont, a inaczej jak kilkaset (zapamiętanie kilkuset haseł jest łatwe, o ile tworzy się o jakiś klucz np. {paręstałychliter}{pierwsze5literadresu}{paręstałychcyfr}