Soft-Com
пошаговой инструкции по определению в таких случаях быть не может, т.к. люди к взлому подходят нетривиально.
приблизительно можно описать так:
1. закрыть докрут домена хтаксесом
Код:
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^(.*)?document.write\(unescape(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?<\?(.*)?$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)?\?>(.*)?$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)?document.write\(unescape(.*)?$ [NC]
RewriteRule .*
http://google.com/ [L]
1.a. Настоятельно рекомендую использовать http-прокси/socks/vpn для доступа к админками собственных доменов (да и к контенту тоже) - не составляет особого труда поставить что-нибуть на _своём_ же сервере (кто не может, или у кого админи не могут - смело обращаемся, контакты в профайле
)
тогда можно сильно сэкономить себе нервы, разрешив доступ к админкам ТОЛЬКО со своего айпишника:
Код:
<FilesMatch "(admin|x2|login)\.cgi">
Order Deny,Allow
Deny from All
Allow from VPN_IP
</FilesMatch>
2. вычистить логи и ины АТ3/АТХ - уже не раз писал как это делается, приблизительно так:
FreeBSD
Код:
/usr/libexec/locate.updatedb
cd /tmp;
for file in `locate x2.cgi`; do path=`echo $file | awk -F"/x/x2.cgi" '{print $1}'`; grep -r "document.write(unesca" $path/l/* | awk -F":" '{print $1}' | xargs sed -i '' 's/<script.*document.write.*unesca.*<\/script>//g'; done
Linux
Код:
updatedb
cd /tmp;
for file in `locate x2.cgi`; do path=`echo $file | awk -F"/x/x2.cgi" '{print $1}'`; grep -r "document.write(unesca" $path/l/* | awk -F":" '{print $1}' | xargs sed -i 's/<script.*document.write.*unesca.*<\/script>//g'; done
3. Попытаться пропарсит шаблоны такой командой на предмет внедрения трояна (ищет и удаляет трояна)
Код:
grep -rH "document.write(unescape" *.tpl | awk -F":" '{print $1}' > 1; for i in `cat 1`; do sed -i '' 's/<script.*document.write.*unesca.*<\/script>//g' $i;done
потом заменить *.tpl на расширения html, и т.д. (для каждого домена жедательно делать свою грепалку чтобы своими же действиями сервер не придавить)
4. попробовать найти внедрённые php-файлы
Код:
grep -rH "substr($s,$k,2))+0);$sss.=$ss" * | awk -F":" '{print $1}'
grep -rH "202069662028245F504F53545B706173735D213D2" * | awk -F":" '{print $1}'
еще один совет - лучше держать домены в разных аккаунтах, иначе один взломанный домен плавно превращается во взломанный сервер.
P.S.
Осмелюсь пропиарится - если кому-то нужны качественные услуги опытных администраторов - обращайтесь
.
Последний раз редактировалось: Soft-Com (24/05/08 в 14:40), всего редактировалось 1 раз
Action
Soft-Com:
Спасибо огромное! Доступно написал!
Надеюсь эта инфа будет полезна многим.
Судя по всему у много сиджей пострадало.
net666:
имхо, после выполнения пунктов 1 и 2 инструкции уважаемого
Soft-Com: , можно снова запускать сервак в работу.
net666
to Soft-Com:
Конечно дорого, то спорит, просто у себя вычищал, "не выключая" все это говно восстаналивалось, было много левых файлов. все сразу не уберешь. прошел рефрешь морды , говно в темплайте, топ рефрешнулся в темплайте топа. Встаки лечше оключить. Хотя хозяин барин...
ps с тобой спорить по этому поводу просто не могу ввиду некомпитентности, спсибо что активно откликнулся, УДАЧИ.