Помогите с синтаксисом для SSH убить вирусню

Master-X

Регистрация | Вход

Форум | Новости | Статьи

Главная » Форум » Программинг, Скрипты, Софт, Сервисы »

Тема: Помогите с синтаксисом для SSH убить вирусню

Новая тема Ответить

цитата
29/01/13 в 11:49

andreich
соосбтвенно сабж, заразили все файлы на домене

все файлы где есть в начале <?php, начинаются так
Код:

<?php eval(base64_decode("трояын

как бы через SSH запустить командочку чтобы она прошлась по всем директориям и файлам и убилабы нахрен этот

eval(base64_decode("троян

неселён я в этом

Спасибо

Последний раз редактировалось: andreich (30/01/13 в 01:37), всего редактировалось 1 раз

цитата
29/01/13 в 12:04

shako
подобную проблему недавно решил дримьвевером
подключил фпт акк как сайт - синхронизировал с локальным компом ( за одно и бэкап себе сделал), дальше автозамена средствами дримвьевера и залитие всех новых файлов на сервер.
правда шелла у меня небыло

цитата
29/01/13 в 12:05

Дартаньян
andreich:

до чего дерзкие дети пошли, открытым eval...
по сабжу найду баш скрипт скину.

цитата
29/01/13 в 12:06

Alexandur
http://www.google.ru/search?q=grep+eval(base64
->
http://devilsworkshop.org/tutorial/remove-evalbase64decode-maliciou…ver/55587/

цитата
29/01/13 в 12:11

Дартаньян
gimcnuk: это сработает, вот только что с делать с апсурдофецироваными шелами без евала?

цитата
29/01/13 в 12:13

Alexandur
Дартаньян: вопрос был в удалении евалов.

цитата
29/01/13 в 12:26

Дартаньян
gimcnuk:

все правильно, просто развиваю тему.

цитата
29/01/13 в 22:39

andreich
вообщем короче налабал мне кореш строчку, но он с Фряхой не особо дружит

получилось следующее

find / -name \*php | tar -C / -czf /phphfiles.backup.tgz -T -
find / -name \*php -exec sed -i 's/eval(base64_decode("вирусня));//' \{\} \;

кто подравит, что бы во фряхе работало

Последний раз редактировалось: andreich (30/01/13 в 11:53), всего редактировалось 1 раз

цитата
30/01/13 в 00:45

andreich
победил нахрен эту ебатень

цитата
30/01/13 в 01:25

Дартаньян
andreich:

теперь квест, найди как похакали.

цитата
30/01/13 в 01:35

andreich
Дартаньян:
файло remove
#!/bin/sh
cat $1 > /home/u311400/domen.ru/www/tmpremoveeval
sed 's/eval(base64_decode("тут продолжение трояна........' /home/u311400/domen.ru/www/tmpremoveeval > $1
запускаем
find /home/u311400/domen.ru/www/ -name \*php -exec /home/u311400/domen.ru/www/removeeval.sh \{\} \;

потом на всякий пожарный делаем еще
find . -name '*.php' -print -exec grep JF8wMDBPPUF {} \; >shells1.txt

смотрим что там в shell.txt

цитата
30/01/13 в 01:39

andreich
билять вроде код убил в топике, а KIS ругается падла

Новая тема Ответить

Эта страница в полной версии