הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את הגירסה המודבקת של הבלוג. זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
שאלות: 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? האם מישהו יודע איך עושים זאת ב SITE5.com ? 2) האם מישהו מכיר את הפריצה הזו ? האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
> הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > הגירסה המודבקת של הבלוג. > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> שאלות: > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > האם מישהו יודע איך עושים זאת ב > SITE5.com > ? > 2) האם מישהו מכיר את הפריצה הזו ? > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
> > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > > הגירסה המודבקת של הבלוג. > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> > שאלות: > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > > האם מישהו יודע איך עושים זאת ב > > SITE5.com > > ? > > 2) האם מישהו מכיר את הפריצה הזו ? > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
> > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > > > הגירסה המודבקת של הבלוג. > > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> > > שאלות: > > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > > > האם מישהו יודע איך עושים זאת ב > > > SITE5.com > > > ? > > > 2) האם מישהו מכיר את הפריצה הזו ? > > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
אני חוויתי פריצות דומות עם וורדפרס מגירסה מיושנת ודרך phpbb מגירסה מיושנת, ואצלי הבעיות נפתרו לחלוטין ברגע שהעפתי את היישומים מהגירסה המיושנת. עושה רושם שאצלך הבעיה שונה לגמרי. ייתכן שנכנסו אליך דרך מערכת מיושנת אצל אחד משכניך החולקים אתך את השרת השיתופי. עם זאת - אני מציע שתבצע את מה שמומלץ ב- http://wordpress.org/support/topic/280878. הבעיה היא לא לנקות את הקבצים אלא לזהות את הפירצה ולסתום אותה.
> > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > > > הגירסה המודבקת של הבלוג. > > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> > > שאלות: > > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > > > האם מישהו יודע איך עושים זאת ב > > > SITE5.com > > > ? > > > 2) האם מישהו מכיר את הפריצה הזו ? > > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית ולסגור תוספים אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר להניח שלא תמצא אותו על ידי חיפוש פשוט.
> הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > הגירסה המודבקת של הבלוג. > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> שאלות: > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > האם מישהו יודע איך עושים זאת ב > SITE5.com > ? > 2) האם מישהו מכיר את הפריצה הזו ? > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
דוד - אני מנחש שהפירצה היא שאיכשהו פרצו ל FTP שלי. מרק - אני מעדיף להעלים את הקוד הזדוני באמצעות פקודת חיפוש-והחלף ישירה.
ניצן - תודה רבה. איך אפשר לוודא שהקוד שלך תקין ? אחרת אני מפחד להריץ אותו ולפגום בקבצים שעל השרת שלי. מצאתי קוד דומה באתר הזה: http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ שמציע לעשות: find / -type f | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.* \<iframe.*$/ /g'
האם תוכל לסייע ולתקן את הקוד מעט ולוודא שהוא יעבוד למקרה הזה?
תודה! טל
On Jun 20, 11:25 am, Mark Kaplun <m...@marksw.com> wrote:
> עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית ולסגור תוספים > אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר להניח שלא תמצא > אותו על ידי חיפוש פשוט.
> tal.gal...@gmail.com wrote: > > שלום חברים, הבלוג שלי נפרץ ונשתל בו קוד > > IFRAME > > הזדוני הבא:
> > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > > הגירסה המודבקת של הבלוג. > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> > שאלות: > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > > האם מישהו יודע איך עושים זאת ב > > SITE5.com > > ? > > 2) האם מישהו מכיר את הפריצה הזו ? > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
> דוד - אני מנחש שהפירצה היא שאיכשהו פרצו ל > FTP > שלי. > מרק - אני מעדיף להעלים את הקוד הזדוני באמצעות פקודת חיפוש-והחלף ישירה.
> ניצן - > תודה רבה. > איך אפשר לוודא שהקוד שלך תקין ? > אחרת אני מפחד להריץ אותו ולפגום בקבצים שעל השרת שלי. > מצאתי קוד דומה באתר הזה: > http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ > שמציע לעשות: > find / -type f | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.* > \<iframe.*$/ /g'
> האם תוכל לסייע ולתקן את הקוד מעט ולוודא שהוא יעבוד למקרה הזה?
> תודה! > טל
> On Jun 20, 11:25 am, Mark Kaplun <m...@marksw.com> wrote: > > עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית ולסגור תוספים > > אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר להניח שלא תמצא > > אותו על ידי חיפוש פשוט.
> > tal.gal...@gmail.com wrote: > > > שלום חברים, הבלוג שלי נפרץ ונשתל בו קוד > > > IFRAME > > > הזדוני הבא:
> > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > > > הגירסה המודבקת של הבלוג. > > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> > > שאלות: > > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > > > האם מישהו יודע איך עושים זאת ב > > > SITE5.com > > > ? > > > 2) האם מישהו מכיר את הפריצה הזו ? > > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
>> דוד - אני מנחש שהפירצה היא שאיכשהו פרצו ל >> FTP >> שלי. >> מרק - אני מעדיף להעלים את הקוד הזדוני באמצעות פקודת חיפוש-והחלף ישירה.
>> ניצן - >> תודה רבה. >> איך אפשר לוודא שהקוד שלך תקין ? >> אחרת אני מפחד להריץ אותו ולפגום בקבצים שעל השרת שלי. >> מצאתי קוד דומה באתר הזה: >> http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ >> שמציע לעשות: >> find / -type f | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.* >> \<iframe.*$/ /g'
>> האם תוכל לסייע ולתקן את הקוד מעט ולוודא שהוא יעבוד למקרה הזה?
>> תודה! >> טל
>> On Jun 20, 11:25 am, Mark Kaplun <m...@marksw.com> wrote: >> > עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית ולסגור תוספים >> > אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר להניח שלא תמצא >> > אותו על ידי חיפוש פשוט.
>> > tal.gal...@gmail.com wrote: >> > > שלום חברים, הבלוג שלי נפרץ ונשתל בו קוד >> > > IFRAME >> > > הזדוני הבא:
>> > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את >> > > הגירסה המודבקת של הבלוג. >> > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
>> > > שאלות: >> > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? >> > > האם מישהו יודע איך עושים זאת ב >> > > SITE5.com >> > > ? >> > > 2) האם מישהו מכיר את הפריצה הזו ? >> > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
> > דוד - אני מנחש שהפירצה היא שאיכשהו פרצו ל > > FTP > > שלי. > > מרק - אני מעדיף להעלים את הקוד הזדוני באמצעות פקודת חיפוש-והחלף ישירה.
> > ניצן - > > תודה רבה. > > איך אפשר לוודא שהקוד שלך תקין ? > > אחרת אני מפחד להריץ אותו ולפגום בקבצים שעל השרת שלי. > > מצאתי קוד דומה באתר הזה: > >http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ > > שמציע לעשות: > > find / -type f | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.* > > \<iframe.*$/ /g'
> > האם תוכל לסייע ולתקן את הקוד מעט ולוודא שהוא יעבוד למקרה הזה?
> > תודה! > > טל
> > On Jun 20, 11:25 am, Mark Kaplun <m...@marksw.com> wrote: > > > עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית ולסגור תוספים > > > אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר להניח שלא תמצא > > > אותו על ידי חיפוש פשוט.
> > > tal.gal...@gmail.com wrote: > > > > שלום חברים, הבלוג שלי נפרץ ונשתל בו קוד > > > > IFRAME > > > > הזדוני הבא:
> > > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > > > > הגירסה המודבקת של הבלוג. > > > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> > > > שאלות: > > > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > > > > האם מישהו יודע איך עושים זאת ב > > > > SITE5.com > > > > ? > > > > 2) האם מישהו מכיר את הפריצה הזו ? > > > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
אהלן תומר - זה לצערי לא ריאלי, הבוט הדביק בערך את כל הקבצים במערכת שלי. אני רוצה למצוא את הקוד שמסיר את הקוד הזדוני (מה שגם יהיה שימושי בפעמים הבאות שזה יקרה פה לאנשים...)
נכנעתי להלילה, הלכתי לישון, לילה טוב כולם, טל
On Jun 21, 12:55 am, Tomer Cohen <tom...@gmail.com> wrote:
> >> דוד - אני מנחש שהפירצה היא שאיכשהו פרצו ל > >> FTP > >> שלי. > >> מרק - אני מעדיף להעלים את הקוד הזדוני באמצעות פקודת חיפוש-והחלף ישירה.
> >> ניצן - > >> תודה רבה. > >> איך אפשר לוודא שהקוד שלך תקין ? > >> אחרת אני מפחד להריץ אותו ולפגום בקבצים שעל השרת שלי. > >> מצאתי קוד דומה באתר הזה: > >>http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ > >> שמציע לעשות: > >> find / -type f | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.* > >> \<iframe.*$/ /g'
> >> האם תוכל לסייע ולתקן את הקוד מעט ולוודא שהוא יעבוד למקרה הזה?
> >> תודה! > >> טל
> >> On Jun 20, 11:25 am, Mark Kaplun <m...@marksw.com> wrote: > >> > עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית ולסגור תוספים > >> > אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר להניח שלא תמצא > >> > אותו על ידי חיפוש פשוט.
> >> > tal.gal...@gmail.com wrote: > >> > > שלום חברים, הבלוג שלי נפרץ ונשתל בו קוד > >> > > IFRAME > >> > > הזדוני הבא:
> >> > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > >> > > הגירסה המודבקת של הבלוג. > >> > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> >> > > שאלות: > >> > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > >> > > האם מישהו יודע איך עושים זאת ב > >> > > SITE5.com > >> > > ? > >> > > 2) האם מישהו מכיר את הפריצה הזו ? > >> > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
> אהלן תומר - זה לצערי לא ריאלי, הבוט הדביק בערך את כל הקבצים במערכת > שלי. > אני רוצה למצוא את הקוד שמסיר את הקוד הזדוני (מה שגם יהיה שימושי בפעמים > הבאות שזה יקרה פה לאנשים...)
> נכנעתי להלילה, הלכתי לישון, > לילה טוב כולם, > טל
> On Jun 21, 12:55 am, Tomer Cohen <tom...@gmail.com> wrote: > > במידה ואין לך יותר מידי קבצים שעשית עליהם שינויים ואין לך עותק גיבוי > שלהם, > > אני ממליץ לבצע התקנה חדשה של וורדפרס, ולהחליף את כל הסיסמאות שלך.
> > >> דוד - אני מנחש שהפירצה היא שאיכשהו פרצו ל > > >> FTP > > >> שלי. > > >> מרק - אני מעדיף להעלים את הקוד הזדוני באמצעות פקודת חיפוש-והחלף ישירה.
> > >> ניצן - > > >> תודה רבה. > > >> איך אפשר לוודא שהקוד שלך תקין ? > > >> אחרת אני מפחד להריץ אותו ולפגום בקבצים שעל השרת שלי. > > >> מצאתי קוד דומה באתר הזה: > > >>http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ > > >> שמציע לעשות: > > >> find / -type f | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.* > > >> \<iframe.*$/ /g'
> > >> האם תוכל לסייע ולתקן את הקוד מעט ולוודא שהוא יעבוד למקרה הזה?
> > >> תודה! > > >> טל
> > >> On Jun 20, 11:25 am, Mark Kaplun <m...@marksw.com> wrote: > > >> > עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית ולסגור > תוספים > > >> > אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר להניח שלא > תמצא > > >> > אותו על ידי חיפוש פשוט.
> > >> > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > > >> > > הגירסה המודבקת של הבלוג. > > >> > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> > >> > > שאלות: > > >> > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > > >> > > האם מישהו יודע איך עושים זאת ב > > >> > > SITE5.com > > >> > > ? > > >> > > 2) האם מישהו מכיר את הפריצה הזו ? > > >> > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
> אהלן תומר - זה לצערי לא ריאלי, הבוט הדביק בערך את כל הקבצים במערכת > שלי. > אני רוצה למצוא את הקוד שמסיר את הקוד הזדוני (מה שגם יהיה שימושי בפעמים > הבאות שזה יקרה פה לאנשים...)
> נכנעתי להלילה, הלכתי לישון, > לילה טוב כולם, > טל
> On Jun 21, 12:55 am, Tomer Cohen <tom...@gmail.com> wrote:
> > במידה ואין לך יותר מידי קבצים שעשית עליהם שינויים ואין לך עותק גיבוי שלהם, > > אני ממליץ לבצע התקנה חדשה של וורדפרס, ולהחליף את כל הסיסמאות שלך.
> > >> דוד - אני מנחש שהפירצה היא שאיכשהו פרצו ל > > >> FTP > > >> שלי. > > >> מרק - אני מעדיף להעלים את הקוד הזדוני באמצעות פקודת חיפוש-והחלף ישירה.
> > >> ניצן - > > >> תודה רבה. > > >> איך אפשר לוודא שהקוד שלך תקין ? > > >> אחרת אני מפחד להריץ אותו ולפגום בקבצים שעל השרת שלי. > > >> מצאתי קוד דומה באתר הזה: > > >>http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ > > >> שמציע לעשות: > > >> find / -type f | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.* > > >> \<iframe.*$/ /g'
> > >> האם תוכל לסייע ולתקן את הקוד מעט ולוודא שהוא יעבוד למקרה הזה?
> > >> תודה! > > >> טל
> > >> On Jun 20, 11:25 am, Mark Kaplun <m...@marksw.com> wrote: > > >> > עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית ולסגור תוספים > > >> > אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר להניח שלא תמצא > > >> > אותו על ידי חיפוש פשוט.
> > >> > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > > >> > > הגירסה המודבקת של הבלוג. > > >> > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> > >> > > שאלות: > > >> > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > > >> > > האם מישהו יודע איך עושים זאת ב > > >> > > SITE5.com > > >> > > ? > > >> > > 2) האם מישהו מכיר את הפריצה הזו ? > > >> > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
> שוב תודה למי שעזר (ויקבל קרדיט מלא בפוסט שאכתוב)
> טל
> On Jun 21, 1:22 am, Tal Galili <tal.gal...@gmail.com> wrote: > > אהלן תומר - זה לצערי לא ריאלי, הבוט הדביק בערך את כל הקבצים במערכת > > שלי. > > אני רוצה למצוא את הקוד שמסיר את הקוד הזדוני (מה שגם יהיה שימושי בפעמים > > הבאות שזה יקרה פה לאנשים...)
> > נכנעתי להלילה, הלכתי לישון, > > לילה טוב כולם, > > טל
> > On Jun 21, 12:55 am, Tomer Cohen <tom...@gmail.com> wrote:
> > > במידה ואין לך יותר מידי קבצים שעשית עליהם שינויים ואין לך עותק גיבוי > שלהם, > > > אני ממליץ לבצע התקנה חדשה של וורדפרס, ולהחליף את כל הסיסמאות שלך.
> > > > תעתיק את הקוד הזדוני לעמוד PHP נקי חדש > > > > תשמור אותו עם סיומת PHP ותאחסן אותו באיזושהי תקייה בשרת
> > > > אחרכך תנווט אליה ותריץ את הפקודה כאשר אתה נמצא בא > > > > אחרכך תבדוק את תוכן הקובץ - אם מה שרצית הוסר סימן שזה עובד :)
> > > > הא ואני פשוט לא נגעתי בFIND שנים ככה שאני מעדיף פרל
> > > > בהצלחה!
> > > > 2009/6/20 Tal Galili <tal.gal...@gmail.com>
> > > >> היי כולם.
> > > >> דוד - אני מנחש שהפירצה היא שאיכשהו פרצו ל > > > >> FTP > > > >> שלי. > > > >> מרק - אני מעדיף להעלים את הקוד הזדוני באמצעות פקודת חיפוש-והחלף > ישירה.
> > > >> ניצן - > > > >> תודה רבה. > > > >> איך אפשר לוודא שהקוד שלך תקין ? > > > >> אחרת אני מפחד להריץ אותו ולפגום בקבצים שעל השרת שלי. > > > >> מצאתי קוד דומה באתר הזה: > > > >>http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ > > > >> שמציע לעשות: > > > >> find / -type f | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.* > > > >> \<iframe.*$/ /g'
> > > >> האם תוכל לסייע ולתקן את הקוד מעט ולוודא שהוא יעבוד למקרה הזה?
> > > >> תודה! > > > >> טל
> > > >> On Jun 20, 11:25 am, Mark Kaplun <m...@marksw.com> wrote: > > > >> > עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית ולסגור > תוספים > > > >> > אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר להניח שלא > תמצא > > > >> > אותו על ידי חיפוש פשוט.
> > > >> > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > > > >> > > הגירסה המודבקת של הבלוג. > > > >> > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> > > >> > > שאלות: > > > >> > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > > > >> > > האם מישהו יודע איך עושים זאת ב > > > >> > > SITE5.com > > > >> > > ? > > > >> > > 2) האם מישהו מכיר את הפריצה הזו ? > > > >> > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
והייתי מרחיב את החיפוש (חיפוש בלבד, ללא החלפה!) לכל קובץ שמופיעה בו המילה iframe, כי אי־אפשר לדעת איפה הנוכלים החביאו את הקוד שלהם ואם באחד מהקבצים הם הפנו לשם מתחם שונה.
>> שוב תודה למי שעזר (ויקבל קרדיט מלא בפוסט שאכתוב)
>> טל
>> On Jun 21, 1:22 am, Tal Galili <tal.gal...@gmail.com> wrote: >> > אהלן תומר - זה לצערי לא ריאלי, הבוט הדביק בערך את כל הקבצים במערכת >> > שלי. >> > אני רוצה למצוא את הקוד שמסיר את הקוד הזדוני (מה שגם יהיה שימושי בפעמים >> > הבאות שזה יקרה פה לאנשים...)
>> > נכנעתי להלילה, הלכתי לישון, >> > לילה טוב כולם, >> > טל
>> > On Jun 21, 12:55 am, Tomer Cohen <tom...@gmail.com> wrote:
>> > > במידה ואין לך יותר מידי קבצים שעשית עליהם שינויים ואין לך עותק גיבוי >> שלהם, >> > > אני ממליץ לבצע התקנה חדשה של וורדפרס, ולהחליף את כל הסיסמאות שלך.
>> > > > תעתיק את הקוד הזדוני לעמוד PHP נקי חדש >> > > > תשמור אותו עם סיומת PHP ותאחסן אותו באיזושהי תקייה בשרת
>> > > > אחרכך תנווט אליה ותריץ את הפקודה כאשר אתה נמצא בא >> > > > אחרכך תבדוק את תוכן הקובץ - אם מה שרצית הוסר סימן שזה עובד :)
>> > > > הא ואני פשוט לא נגעתי בFIND שנים ככה שאני מעדיף פרל
>> > > > בהצלחה!
>> > > > 2009/6/20 Tal Galili <tal.gal...@gmail.com>
>> > > >> היי כולם.
>> > > >> דוד - אני מנחש שהפירצה היא שאיכשהו פרצו ל >> > > >> FTP >> > > >> שלי. >> > > >> מרק - אני מעדיף להעלים את הקוד הזדוני באמצעות פקודת חיפוש-והחלף >> ישירה.
>> > > >> ניצן - >> > > >> תודה רבה. >> > > >> איך אפשר לוודא שהקוד שלך תקין ? >> > > >> אחרת אני מפחד להריץ אותו ולפגום בקבצים שעל השרת שלי. >> > > >> מצאתי קוד דומה באתר הזה: >> > > >>http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ >> > > >> שמציע לעשות: >> > > >> find / -type f | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.* >> > > >> \<iframe.*$/ /g'
>> > > >> האם תוכל לסייע ולתקן את הקוד מעט ולוודא שהוא יעבוד למקרה הזה?
>> > > >> תודה! >> > > >> טל
>> > > >> On Jun 20, 11:25 am, Mark Kaplun <m...@marksw.com> wrote: >> > > >> > עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית ולסגור >> תוספים >> > > >> > אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר להניח >> שלא תמצא >> > > >> > אותו על ידי חיפוש פשוט.
>> > > >> > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים >> את >> > > >> > > הגירסה המודבקת של הבלוג. >> > > >> > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
>> > > >> > > שאלות: >> > > >> > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? >> > > >> > > האם מישהו יודע איך עושים זאת ב >> > > >> > > SITE5.com >> > > >> > > ? >> > > >> > > 2) האם מישהו מכיר את הפריצה הזו ? >> > > >> > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
> והייתי מרחיב את החיפוש (חיפוש בלבד, ללא החלפה!) לכל קובץ שמופיעה בו המילה > iframe, כי אי־אפשר לדעת איפה הנוכלים החביאו את הקוד שלהם ואם באחד מהקבצים הם > הפנו לשם מתחם שונה.
>>> שוב תודה למי שעזר (ויקבל קרדיט מלא בפוסט שאכתוב)
>>> טל
>>> On Jun 21, 1:22 am, Tal Galili <tal.gal...@gmail.com> wrote: >>> > אהלן תומר - זה לצערי לא ריאלי, הבוט הדביק בערך את כל הקבצים במערכת >>> > שלי. >>> > אני רוצה למצוא את הקוד שמסיר את הקוד הזדוני (מה שגם יהיה שימושי בפעמים >>> > הבאות שזה יקרה פה לאנשים...)
>>> > נכנעתי להלילה, הלכתי לישון, >>> > לילה טוב כולם, >>> > טל
>>> > On Jun 21, 12:55 am, Tomer Cohen <tom...@gmail.com> wrote:
>>> > > במידה ואין לך יותר מידי קבצים שעשית עליהם שינויים ואין לך עותק גיבוי >>> שלהם, >>> > > אני ממליץ לבצע התקנה חדשה של וורדפרס, ולהחליף את כל הסיסמאות שלך.
>>> > > > תעתיק את הקוד הזדוני לעמוד PHP נקי חדש >>> > > > תשמור אותו עם סיומת PHP ותאחסן אותו באיזושהי תקייה בשרת
>>> > > > אחרכך תנווט אליה ותריץ את הפקודה כאשר אתה נמצא בא >>> > > > אחרכך תבדוק את תוכן הקובץ - אם מה שרצית הוסר סימן שזה עובד :)
>>> > > > הא ואני פשוט לא נגעתי בFIND שנים ככה שאני מעדיף פרל
>>> > > > בהצלחה!
>>> > > > 2009/6/20 Tal Galili <tal.gal...@gmail.com>
>>> > > >> היי כולם.
>>> > > >> דוד - אני מנחש שהפירצה היא שאיכשהו פרצו ל >>> > > >> FTP >>> > > >> שלי. >>> > > >> מרק - אני מעדיף להעלים את הקוד הזדוני באמצעות פקודת חיפוש-והחלף >>> ישירה.
>>> > > >> ניצן - >>> > > >> תודה רבה. >>> > > >> איך אפשר לוודא שהקוד שלך תקין ? >>> > > >> אחרת אני מפחד להריץ אותו ולפגום בקבצים שעל השרת שלי. >>> > > >> מצאתי קוד דומה באתר הזה: >>> > > >>http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ >>> > > >> שמציע לעשות: >>> > > >> find / -type f | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.* >>> > > >> \<iframe.*$/ /g'
>>> > > >> האם תוכל לסייע ולתקן את הקוד מעט ולוודא שהוא יעבוד למקרה הזה?
>>> > > >> תודה! >>> > > >> טל
>>> > > >> On Jun 20, 11:25 am, Mark Kaplun <m...@marksw.com> wrote: >>> > > >> > עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית >>> ולסגור תוספים >>> > > >> > אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר להניח >>> שלא תמצא >>> > > >> > אותו על ידי חיפוש פשוט.
>>> > > >> > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים >>> את >>> > > >> > > הגירסה המודבקת של הבלוג. >>> > > >> > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
>>> > > >> > > שאלות: >>> > > >> > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? >>> > > >> > > האם מישהו יודע איך עושים זאת ב >>> > > >> > > SITE5.com >>> > > >> > > ? >>> > > >> > > 2) האם מישהו מכיר את הפריצה הזו ? >>> > > >> > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
לניצן ותומר: עד כמה שהצלחתי לזהות (ועברתי עם פלאגין שסורק את הקבצים לדברים חשודים, שהצליח לזהות את הקוד הזדוני הזה) - הלינק שהם הכניסו הוא הלינק היחיד (כמה מוזר שזה נראה). לכן הלכתי על הקוד הסטטי.
ותומר - תודה על הטיפים הנוספים.
On Jun 21, 5:09 pm, Nitsan Bin-Nun <nit...@binnun.co.il> wrote:
> > והייתי מרחיב את החיפוש (חיפוש בלבד, ללא החלפה!) לכל קובץ שמופיעה בו המילה > > iframe, כי אי־אפשר לדעת איפה הנוכלים החביאו את הקוד שלהם ואם באחד מהקבצים הם > > הפנו לשם מתחם שונה.
> >>> אני אסכם את הכל בבלוג שלי מתישהו בקרוב: > >>>www.talgalili.com
> >>> שוב תודה למי שעזר (ויקבל קרדיט מלא בפוסט שאכתוב)
> >>> טל
> >>> On Jun 21, 1:22 am, Tal Galili <tal.gal...@gmail.com> wrote: > >>> > אהלן תומר - זה לצערי לא ריאלי, הבוט הדביק בערך את כל הקבצים במערכת > >>> > שלי. > >>> > אני רוצה למצוא את הקוד שמסיר את הקוד הזדוני (מה שגם יהיה שימושי בפעמים > >>> > הבאות שזה יקרה פה לאנשים...)
> >>> > נכנעתי להלילה, הלכתי לישון, > >>> > לילה טוב כולם, > >>> > טל
> >>> > On Jun 21, 12:55 am, Tomer Cohen <tom...@gmail.com> wrote:
> >>> > > במידה ואין לך יותר מידי קבצים שעשית עליהם שינויים ואין לך עותק גיבוי > >>> שלהם, > >>> > > אני ממליץ לבצע התקנה חדשה של וורדפרס, ולהחליף את כל הסיסמאות שלך.
> >>> > > > תעתיק את הקוד הזדוני לעמוד PHP נקי חדש > >>> > > > תשמור אותו עם סיומת PHP ותאחסן אותו באיזושהי תקייה בשרת
> >>> > > > אחרכך תנווט אליה ותריץ את הפקודה כאשר אתה נמצא בא > >>> > > > אחרכך תבדוק את תוכן הקובץ - אם מה שרצית הוסר סימן שזה עובד :)
> >>> > > > הא ואני פשוט לא נגעתי בFIND שנים ככה שאני מעדיף פרל
> >>> > > > בהצלחה!
> >>> > > > 2009/6/20 Tal Galili <tal.gal...@gmail.com>
> >>> > > >> היי כולם.
> >>> > > >> דוד - אני מנחש שהפירצה היא שאיכשהו פרצו ל > >>> > > >> FTP > >>> > > >> שלי. > >>> > > >> מרק - אני מעדיף להעלים את הקוד הזדוני באמצעות פקודת חיפוש-והחלף > >>> ישירה.
> >>> > > >> ניצן - > >>> > > >> תודה רבה. > >>> > > >> איך אפשר לוודא שהקוד שלך תקין ? > >>> > > >> אחרת אני מפחד להריץ אותו ולפגום בקבצים שעל השרת שלי. > >>> > > >> מצאתי קוד דומה באתר הזה: > >>> > > >>http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ > >>> > > >> שמציע לעשות: > >>> > > >> find / -type f | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.* > >>> > > >> \<iframe.*$/ /g'
> >>> > > >> האם תוכל לסייע ולתקן את הקוד מעט ולוודא שהוא יעבוד למקרה הזה?
> >>> > > >> תודה! > >>> > > >> טל
> >>> > > >> On Jun 20, 11:25 am, Mark Kaplun <m...@marksw.com> wrote: > >>> > > >> > עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית > >>> ולסגור תוספים > >>> > > >> > אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר להניח > >>> שלא תמצא > >>> > > >> > אותו על ידי חיפוש פשוט.
> >>> > > >> > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים > >>> את > >>> > > >> > > הגירסה המודבקת של הבלוג. > >>> > > >> > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> >>> > > >> > > שאלות: > >>> > > >> > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > >>> > > >> > > האם מישהו יודע איך עושים זאת ב > >>> > > >> > > SITE5.com > >>> > > >> > > ? > >>> > > >> > > 2) האם מישהו מכיר את הפריצה הזו ? > >>> > > >> > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
> לניצן ותומר: > עד כמה שהצלחתי לזהות (ועברתי עם פלאגין שסורק את הקבצים לדברים חשודים, > שהצליח לזהות את הקוד הזדוני הזה) - הלינק שהם הכניסו הוא הלינק היחיד > (כמה מוזר שזה נראה). > לכן הלכתי על הקוד הסטטי.
> ותומר - תודה על הטיפים הנוספים.
> On Jun 21, 5:09 pm, Nitsan Bin-Nun <nit...@binnun.co.il> wrote: > > אם אתה רוצה לעבור על התוצאות ידנית אז כן - עדיף להרחיב את החיפוש ל > > <iframe > > ולכל הקבצים ואז להסיר בעצמך :)
> > > והייתי מרחיב את החיפוש (חיפוש בלבד, ללא החלפה!) לכל קובץ שמופיעה בו > המילה > > > iframe, כי אי־אפשר לדעת איפה הנוכלים החביאו את הקוד שלהם ואם באחד > מהקבצים הם > > > הפנו לשם מתחם שונה.
> > >>> אני אסכם את הכל בבלוג שלי מתישהו בקרוב: > > >>>www.talgalili.com
> > >>> שוב תודה למי שעזר (ויקבל קרדיט מלא בפוסט שאכתוב)
> > >>> טל
> > >>> On Jun 21, 1:22 am, Tal Galili <tal.gal...@gmail.com> wrote: > > >>> > אהלן תומר - זה לצערי לא ריאלי, הבוט הדביק בערך את כל הקבצים במערכת > > >>> > שלי. > > >>> > אני רוצה למצוא את הקוד שמסיר את הקוד הזדוני (מה שגם יהיה שימושי > בפעמים > > >>> > הבאות שזה יקרה פה לאנשים...)
> > >>> > נכנעתי להלילה, הלכתי לישון, > > >>> > לילה טוב כולם, > > >>> > טל
> > >>> > On Jun 21, 12:55 am, Tomer Cohen <tom...@gmail.com> wrote:
> > >>> > > במידה ואין לך יותר מידי קבצים שעשית עליהם שינויים ואין לך עותק > גיבוי > > >>> שלהם, > > >>> > > אני ממליץ לבצע התקנה חדשה של וורדפרס, ולהחליף את כל הסיסמאות שלך.
> > >>> > > > הביטוי הרגולרי שלי מתאים ספציפית לשלך
> > >>> > > > מה שתעשה זה ככה
> > >>> > > > תעתיק את הקוד הזדוני לעמוד PHP נקי חדש > > >>> > > > תשמור אותו עם סיומת PHP ותאחסן אותו באיזושהי תקייה בשרת
> > >>> > > > אחרכך תנווט אליה ותריץ את הפקודה כאשר אתה נמצא בא > > >>> > > > אחרכך תבדוק את תוכן הקובץ - אם מה שרצית הוסר סימן שזה עובד :)
> > >>> > > > הא ואני פשוט לא נגעתי בFIND שנים ככה שאני מעדיף פרל
> > >>> > > > בהצלחה!
> > >>> > > > 2009/6/20 Tal Galili <tal.gal...@gmail.com>
> > >>> > > >> היי כולם.
> > >>> > > >> דוד - אני מנחש שהפירצה היא שאיכשהו פרצו ל > > >>> > > >> FTP > > >>> > > >> שלי. > > >>> > > >> מרק - אני מעדיף להעלים את הקוד הזדוני באמצעות פקודת > חיפוש-והחלף > > >>> ישירה.
> > >>> > > >> ניצן - > > >>> > > >> תודה רבה. > > >>> > > >> איך אפשר לוודא שהקוד שלך תקין ? > > >>> > > >> אחרת אני מפחד להריץ אותו ולפגום בקבצים שעל השרת שלי. > > >>> > > >> מצאתי קוד דומה באתר הזה: > > >>> > > >>http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ > > >>> > > >> שמציע לעשות: > > >>> > > >> find / -type f | xargs grep -l '<iframe'| xargs perl -pi -e > 's/^.* > > >>> > > >> \<iframe.*$/ /g'
> > >>> > > >> האם תוכל לסייע ולתקן את הקוד מעט ולוודא שהוא יעבוד למקרה הזה?
> > >>> > > >> תודה! > > >>> > > >> טל
> > >>> > > >> On Jun 20, 11:25 am, Mark Kaplun <m...@marksw.com> wrote: > > >>> > > >> > עושה רושם שזה משהו בוורדפרס ולכן כדאי קודם כל להחליף תבנית > > >>> ולסגור תוספים > > >>> > > >> > אחד אחרי השני עד שהפריים נעלם. אם זה באמת קוד זדוני סביר > להניח > > >>> שלא תמצא > > >>> > > >> > אותו על ידי חיפוש פשוט.
> > >>> > > >> > > הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, > וכוללים > > >>> את > > >>> > > >> > > הגירסה המודבקת של הבלוג. > > >>> > > >> > > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> > >>> > > >> > > שאלות: > > >>> > > >> > > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת > ? > > >>> > > >> > > האם מישהו יודע איך עושים זאת ב > > >>> > > >> > > SITE5.com > > >>> > > >> > > ? > > >>> > > >> > > 2) האם מישהו מכיר את הפריצה הזו ? > > >>> > > >> > > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
> הגיבויים של שירות האיחסון שבו אני מתארח הם חדשים מדי, וכוללים את > הגירסה המודבקת של הבלוג. > זה אומר שאני צריך לעבור ולנקות את הקבצים ידנית.
> שאלות: > 1) האם יש דרך אוטומאטית לעשות חיפוש והחלפה לקבצים על השרת ? > האם מישהו יודע איך עושים זאת ב > SITE5.com > ? > 2) האם מישהו מכיר את הפריצה הזו ? > האם זה כי פרצו לי ליוזר אף-טי-פי, או משהו אחר ?
|
