Z
С нами с 15.05.05
Сообщения: 55189
Рейтинг: 7770
|
Добавлено: 29/01/13 в 11:49 |
соосбтвенно сабж, заразили все файлы на домене
все файлы где есть в начале <?php, начинаются так
Код: | <?php eval(base64_decode("трояын |
как бы через SSH запустить командочку чтобы она прошлась по всем директориям и файлам и убилабы нахрен этот
eval(base64_decode("троян
неселён я в этом
Спасибо
Последний раз редактировалось: andreich (30/01/13 в 01:37), всего редактировалось 1 раз
|
|
|
|
www.romartstudio.com
С нами с 06.11.03
Сообщения: 12225
Рейтинг: 2263
|
Добавлено: 29/01/13 в 12:04 |
подобную проблему недавно решил дримьвевером
подключил фпт акк как сайт - синхронизировал с локальным компом ( за одно и бэкап себе сделал), дальше автозамена средствами дримвьевера и залитие всех новых файлов на сервер.
правда шелла у меня небыло
|
|
|
|
+ +
WP-Master
С нами с 17.01.13
Сообщения: 1922
Рейтинг: 1123
|
Добавлено: 29/01/13 в 12:05 |
andreich: до чего дерзкие дети пошли, открытым eval...
по сабжу найду баш скрипт скину.
|
|
|
|
С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970
|
Добавлено: 29/01/13 в 12:06 |
|
|
|
|
+ +
WP-Master
С нами с 17.01.13
Сообщения: 1922
Рейтинг: 1123
|
Добавлено: 29/01/13 в 12:11 |
gimcnuk: это сработает, вот только что с делать с апсурдофецироваными шелами без евала?
|
|
|
|
С нами с 01.04.07
Сообщения: 4378
Рейтинг: 2970
|
Добавлено: 29/01/13 в 12:13 |
Дартаньян: вопрос был в удалении евалов.
|
|
|
|
+ +
WP-Master
С нами с 17.01.13
Сообщения: 1922
Рейтинг: 1123
|
Добавлено: 29/01/13 в 12:26 |
gimcnuk: все правильно, просто развиваю тему.
|
|
|
|
Z
С нами с 15.05.05
Сообщения: 55189
Рейтинг: 7770
|
Добавлено: 29/01/13 в 22:39 |
вообщем короче налабал мне кореш строчку, но он с Фряхой не особо дружит
получилось следующее
Код: [развернуть] | find / -name \*php | tar -C / -czf /phphfiles.backup.tgz -T -
find / -name \*php -exec sed -i 's/eval(base64_decode("вирусня));//' \{\} \; |
кто подравит, что бы во фряхе работало
Последний раз редактировалось: andreich (30/01/13 в 11:53), всего редактировалось 1 раз
|
|
|
|
Z
С нами с 15.05.05
Сообщения: 55189
Рейтинг: 7770
|
Добавлено: 30/01/13 в 00:45 |
победил нахрен эту ебатень
|
|
|
|
+ +
WP-Master
С нами с 17.01.13
Сообщения: 1922
Рейтинг: 1123
|
Добавлено: 30/01/13 в 01:25 |
andreich: теперь квест, найди как похакали.
|
|
|
|
Z
С нами с 15.05.05
Сообщения: 55189
Рейтинг: 7770
|
Добавлено: 30/01/13 в 01:35 |
Дартаньян:
файло remove
Код: [развернуть] | #!/bin/sh
cat $1 > /home/u311400/domen.ru/www/tmpremoveeval
sed 's/eval(base64_decode("тут продолжение трояна........' /home/u311400/domen.ru/www/tmpremoveeval > $1 |
запускаем
find /home/u311400/domen.ru/www/ -name \*php -exec /home/u311400/domen.ru/www/removeeval.sh \{\} \;
потом на всякий пожарный делаем еще
find . -name '*.php' -print -exec grep JF8wMDBPPUF {} \; >shells1.txt
смотрим что там в shell.txt
|
|
|
|
Z
С нами с 15.05.05
Сообщения: 55189
Рейтинг: 7770
|
Добавлено: 30/01/13 в 01:39 |
билять вроде код убил в топике, а KIS ругается падла
|
|
|
|
Текстовая реклама в форме ответа Заголовок и до четырех строчек текста Длина текста до 350 символов Купить рекламу в этом месте! |