Care este „darul soarta“? Acest fișier, care este programat pentru a genera un anumit cod de iframe și adăugați-l la fișierele de pe o mască specifică. Dacă găsiți codul iframe de pe site-ul dvs., atunci trebuie să se uite mai întâi pentru generatorul de fișiere este această infecție și nu elimină toate fișierele infectate.
Recent, am fost contactat de un client care a avut un site web. care a fost creat un an sau doi în urmă, pe motorul Joomla 1.5. Sarcina a fost de a aduce site-ul în forma normală și pune-l pe promovarea. În acest caz, toate parolele de găzduire și administrare au fost pierdute, dar din fericire amintit parola, care a fost înregistrată de găzduire. Astfel, prin depunerea unei cereri pentru a schimba parola cu caseta de contact pentru a obține parola pentru găzduirea pe baza cărora a făcut accesul la ftp, etc. Având acces la baza de date, am rezolvat problema prin resetarea parolei pentru admin Joomla. Acesta a fost urmat de cel mai dificil lucru de făcut - pentru a eradica iframe virusului.
Așa cum sa menționat mai sus - un mod №1 - site-ul complet perezalit fișiere cu copia de rezervă făcută în momentul când site-ul a fost încă „sănătos“. În cazul meu, după infectare a trecut mai mult de 8 luni, și nu așa-numita rezervă fostul webmaster niciodată făcut. Hoster dovedit magazine backup-uri în ultimele 7 zile. În această situație, există 2 ieșiri - a crea un site web de la zero, sau pentru a trata una existentă. Am decis să încerc mai întâi pentru a elimina virusul.
A schimbat toate parolele pentru a accesa site-ul, a văzut și îndepărtat la rădăcina unui site php-fișier suspect, este posibil ca acest lucru a fost fișierul care a generat iframe. Am găsit mii de fișiere infectate, în cazul în care, la sfârșitul fiecărui trebuie să conțină șirul cu referire la un site terță parte, începând cu
- Schimbați toate parolele pentru a accesa site-ul.
- Antivirusnik dezactiva (în cazul în care „mama“ pe
- Copiați toate fișierele în directorul rădăcină al unui site pentru PC-urile lor.
- Descărcați și instalați „Notepad ++“. Run.
- Am căuta și șterge fișierele infectate
După ce a făcut clic pe „Search“ se va vedea fereastra de rezultate de căutare, care conține informațiile în oricare dintre aceste fișiere conțin căile de cod pentru a le etc. Fac același lucru făcând clic pe „Înlocuiește din fișierele“ înlocuim această linie, astfel, la nimic, iar acest lucru se va elimina.
Dar aceasta plimbare numai în cazul în care codul este aceeași în toate fișierele. Sunt confruntat cu faptul că codul este diferit în mijlocul numerelor rând (ceea ce însemna, probabil, generarea unui metru). Așa că am avut toate fișierele „index.html“ să se pronunțe în trei etape: în primul rând, pentru a înlocui prima parte a liniei de sus a numerelor de pe goale, înlocuiți a doua parte a șirului după numerele de pe martor și înlocuiți fiecare cifră în gol:
Acesta folosește o expresie regulată „/ d“, care se referă la figura. Astfel, vom înlocui toate numerele din fiecare fișier index.html director selectat. În aceeași notă timp că „modul de căutare“ trebuie să fie setat la „expresie regulată“.
După acești pași, toate fișierele „index.html“ vindecat, iar când deschidem oricare dintre ele, acesta va conține un cod de aici:
Infected php-fișier cu mâna dreaptă ca cifrele de înlocuire va determina ca le strica complet, deoarece aceste fișiere înainte de infectare conține alte figuri, cu excepția codului dăunător. Dar, știi, este de 100 de fișiere și nu 1000, asa ca suflece mânecile, și degetele rustling pe mouse-ul și tastatura este pe masă.
- Găsiți șirul rău intenționat în alte fișiere (am fost în căutarea pentru toate fișierele infectate de pe link-ul de pe site-ul terță parte, care a fost în iframe-line):
că și mâna dreaptă: