ПХП скрипт за изтриване на ифраме вирус

[nullsoft]

Скрипта сиго написах за себеси, но рекох даго споделя може и дави потрябва х е диреакторията ако оставите / ще претърси всички диреактории

<?php
function iframe($dir)
{
    $showdir = array();
    $diropen=opendir($dir);
    while ($file = readdir($diropen)) {
        if ( $file!="." AND $file!=".." AND $file!="" )
        {
            $showdir []=$file;
        }
    }
    closedir($diropen);
    sort($showdir);
    return $showdir;
}
$diropen = 'x/';
$fail = iframe($diropen);
foreach ($fail as $files)
{
    $cheti = file_get_contents($diropen.$files);
    //$pishi = str_replace('<br>','',$cheti);
    $virus = '|<iframe .+?></iframe>|i';
    $pishi = preg_replace($virus,'',$cheti);
    file_put_contents($diropen.$files,$pishi);
}
echo "Изтрихме вируса.";
?>

ПС: може да има проблеми, не знам не съм много на пхп . Тук има доста добри програмисти от мен, нека си изкажат мнението

 

[mlazarov]

Re: ПХП скрипт за изтриване на ифраме вирус

Имам само едно уточнение: горният скрипт не трие ифреймове с вируси, а всички ифреймове!
Имайте едно на ум, ако ви се наложи да го ползвате

 

[bgkulinar]

Re: ПХП скрипт за изтриване на ифраме вирус

Някой може ли да сподели как аджеба хакерите вкарват ифраме в кода?

Днес например ми хакнаха адаша и като гледам само кесхираните файлове, които се намират в чмодната 777 директория. Прегледах останалите файлове и не видях да има промени по тях. Използвам САМО sftp за тоя сайт.

 

[ivo.apostolov]

Re: ПХП скрипт за изтриване на ифраме вирус

Поне от CMS-ите става, чрез vulnerability на някой файл, който позволява прокарването на разни глобални променливи в CMS-а през урл. По този начин зареждат някакъв измислен remote файл мениджър и товарят вътре.

Друг начин е чрез троянец на компютъра и ти гепят FTP данните.

 

[bgkulinar]

Re: ПХП скрипт за изтриване на ифраме вирус

Софтът ми е кастъм, макар че имам форум, директория и галерия, които на пръв поглед не са засегнати.

Позлвам убунту на компа си и надали е троянец .

 

[mlazarov]

Re: ПХП скрипт за изтриване на ифраме вирус

Как е адреса на сайта?
Разгледа ли логовете?

 

[bgkulinar]

Re: ПХП скрипт за изтриване на ифраме вирус

bgkulinar.net
Понеже ми е малко мястото на хостинга, съм ги изключил

 

[ivo.apostolov]

Re: ПХП скрипт за изтриване на ифраме вирус

Сега ми кажи, че го хостваш на ICN и мога да ти дам отговор.

 

[dtstyle]

Re: ПХП скрипт за изтриване на ифраме вирус

При мен се случа подобен хак с ифрейм при суперхостинг и логовете показаха, че през различни ИП-та се е логвал някой си по ФТП-и. Променил е файлове без никаква за мен логична последователност и е сложил ифраме кода. Обяснението ми е крадец на пароли (вирус).

 

[netsurfer]

Re: ПХП скрипт за изтриване на ифраме вирус

bgkulinar.net
Понеже ми е малко мястото на хостинга, съм ги изключил

Сайтът е докладван като „атакуващ“! под FF, под IE8 няма проблем

Сега ми кажи, че го хостваш на ICN и мога да ти дам отговор.

това не е секретна информация, пише си я в whois-а

IP Location

- Washington - Bellevue - Enom Incorporated

 

[ivo.apostolov]

Re: ПХП скрипт за изтриване на ифраме вирус

Сайтът е докладван като „атакуващ“! под FF, под IE8 няма проблем


това не е секретна информация, пише си я в whois-а

IP Location

- Washington - Bellevue - Enom Incorporated

Тогава освен през вирус в компютъра не виждам как може да е. Другията вариант е в лошо конфигуриран сървър.

 

[bgkulinar]

Re: ПХП скрипт за изтриване на ифраме вирус

НЕ съм на ICN, не съм и в Еном, само позлвам техните ДНС-и . Вирус НЯМА как да стане в Линукс, а за хосинга - сосбтвеникът е един от най-добрите администратори, така че първо ще говоря с него и после ще ви кажа какво сме измъдрили.

 

[mlazarov]

Re: ПХП скрипт за изтриване на ифраме вирус

На кратко asp.bg

Проблема ми се вижда да е във старата версия на форума.

 

[s1yf0x]

Re: ПХП скрипт за изтриване на ифраме вирус

Аз мога да ти кажа видях го на дестки сайтове. Сценария според логовете е следния:

1. Собственика на хостинга прави успешна сесия към хоста през FTP
2. 1 до 5 мин. след това от друго IP се прави проба за достъп с FTP login и веднага FTP loguot
3. Ако има успешна сесия веднага след това от 10-тина различни IP адреси се прави FTP login; download index.* ; upload index.* (с добавени битове, т.е. вече с добавено съдържание към тях iframe); FTP логаут

това последното е автоматичен процес, тъй като човек няма визическата възможност да го прави.

По пътя на логиката се изхожда, че FTP клиента на собственика на хоста е компрометиран и запаметените на него пароли се използват за подобни цели. Няма да ви казвам какъв fun настава при клиент, който имаше 10 хостинг акаунта с по не знам колко сайта и всичките се управляват от един компютър с FileZilla.

 

[bgkulinar]

Re: ПХП скрипт за изтриване на ифраме вирус

Оказа се стара версия на awstats. Защо изобщо го инсталират тия хостинги? Вече всичко е точ, надявам се .

 

[ivo.apostolov]

Re: ПХП скрипт за изтриване на ифраме вирус

Мда, Другията вариант е в лошо конфигуриран сървър.

 

[s1yf0x]

Re: ПХП скрипт за изтриване на ифраме вирус

Ако не ти е проблем можеш ли да споделиш логове и как стигнахте до Awstats ще е полезно за всички ни. btw Awstats идва комплект с cPanel и дава най-пълна информация затова го има по хостингите.

 

[ivo.apostolov]

Re: ПХП скрипт за изтриване на ифраме вирус

Проблема е обаче, че хостингите продължават да ползват PHP4, не обновяват контролният панел и т.н.

 

[bgkulinar]

Re: ПХП скрипт за изтриване на ифраме вирус

Както писах по-горе, логовете съм ги изключил, защото мясото ми е кът.

Не съм с цПанел, а с HSPcomplete.

Относно диагностиката, трябва да се обърнеш към Жоро от asp.bg, той може да ти каже всичко, аз бях само слушател.

 

[nullsoft]

Re: ПХП скрипт за изтриване на ифраме вирус

ифраме предимно се вкарва от фтп,но може също да с вкара и от дупка в пхп примерно някои $get функциа и етц.

Ако си сигурен че вируса е влязал с фтп посто си изчисти вируса, но ако не си сигурен бих ти предложил да дадеш на някои кодер да ти оптимизира кода така де даго направи по сигурен