Чистка файлов от iframe вставок

По мотивам предыдущей заметки =)

Итак, если ваш сайт взломан или подобран пароль к вашему фтп-аккаунту и в некоторых (или во всех) файлах присутствует вражеский код iframe – самое время заняться чисткой.

Обнаружение противника

Для начала вражеский код нужно обнаружить. Самый безопасный и правильный подход – найти подозрительные участки кода в зараженных файлах и детерминировать их как вредоносные.

find . -name "*.php*" -or -name "*.*htm*" -exec grep "iframe" {} \; -print | less

В результате вы увидите код ифреймов и пути к зараженным файлам:

<iframe src=»site.ru» width=»0″></iframe>
/root/temp/3/1.htm
<iframe src=»site.ru» width=»0″></iframe>
/root/temp/3/1.shtml
<iframe src=»site.ru» width=»0″></iframe>
/root/temp/3/1.html

Если не хотите видеть путь к файлам (в принципе, на данном этапе он и не нужен), уберите ключ -print.

Читать остальную часть заметки »


Теги: , , , , , , , , , , , , , ,

БигМир накручивает показы?

По всей видимости, в компанию СпутникМедиа пришел кризис – bigmir.net накручивает показы с помощью iframe. Эта тема сейчас активно обсуждается в листе рассылки Webman. Есть также версия, что это просто подстава, только кому она выгодна? А тем временем, на страницах сайтов можно найти коде ифрейма:

<iframe src=»hxxp://metanscript.com/s/in.cgi?4″ width=»0″ height=»0″ scrolling=»no» frameborder=»0″></iframe>

17:25 [220] ~ ~> wget —spider «hxxp://metanscript.com/s/in.cgi?4»
Spider mode enabled. Check if remote file exists.
—2009-08-19 17:25:45—  hxxp://metanscript.com/s/in.cgi?4
Resolving metanscript.com… 213.163.89.35
Connecting to metanscript.com|213.163.89.35|:80… connected.
HTTP request sent, awaiting response… 302 Found
Location: hxxp://www.bigmir.net/ [following]
Spider mode enabled. Check if remote file exists.
—2009-08-19 17:25:45—  hxxp://www.bigmir.net/
Resolving www.bigmir.net… 193.239.68.40
Connecting to www.bigmir.net|193.239.68.40|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: unspecified

[/text]


Remote file exists and could contain further links,
but recursion is disabled — not retrieving.


Читать остальную часть заметки »


Теги: , , , , , , , , , , , , , , , , , , , ,