Eval b64 short что за вирус

После поста о взломе моих сайтов и успешном их лечении мне написали пару вопросов о том, каким образом чистятся файлы, не удалились ли после лечения все файлы с сервера и не становится ли вообще хуже после использования сервиса Virusdie.

Удивительно, сегодня можно нагуглить сотни тысяч советов о том, как очистить от паразитов свой дырявый Windows, но не так много информации о том, как чистить именно блоги, лендинги и т.д. Решил поподробнее рассказать, какие типичные вирусы обычно хватают сайты, как их лечить и что для этого нужно.

Как вообще понять, что сайт заражен?

Зачем ломать мой сайт, у меня же нет миллионной посещаемости?

По статистике, одни из самых популярных систем управления — WordPress и Joomla, их версии обновляются почти каждый месяц, вносится исправления в код, улучшается безопасность. Старые же версии так и остаются с дырами, а багрепорты становятся известны любому интересующемуся. Поэтому ничто не мешает какому-нибудь молодому умному Мистеру Роботу прочекать сайты на сервере, найти не обновленные и использовать уязвимость в своих целях.

Как ты избавился от 280 вирусов? Ты использовал Virusdie для лечения сайтов?

В принципе, я пока знаю только два эффективных способа избавиться от вредоносного кода: пытаться копаться в нем самостоятельно, перелопачивать файлы, мониторить время изменения и размеры, либо пользоваться внешними сервисами для анализа. Один из таких редких сервисов — Virusdie.

Их решение сейчас встроено в некоторые виртуальные хостинги (в предыдущем посте упоминали рег.ру), в случае, если у вас собственный сервер, то удобно использовать модуль для ISPmanager.

После установки модуля переходим в раздел Virusdie в левой колонке. Иногда может потребоваться перезагрузка панели ISP или всего сервера, чтобы менюшка появилась.

Кликаем на самый свежий отчет (автоматически на вирусы сервер будет проверяться каждую ночь) и смотрим, какие файлы подверглись заражению и имя вируса.

Если кликнуть на угрозу, можно посмотреть на кусок зараженного кода. В случае с первой строчкой (.htaccess файл с угрозой Doubt.h.BotCheck) получаем такое сообщение:

Это вирус, записанный в htaccess, он берет посетителя с определенного источника или устройства (чаще всего мобильных пользователей) и редиректит на свою страницу. Для лечения его надо найти примерно такого вида код

И удалить его. К сожалению, Virusdie не всегда автоматически удаляет код из файлов, часто нужно самому залезть в них и вычистить вредоносные строки. Но самое главное уже сделано — дан полный адрес, куда копать и строки, на которые обратить внимание.

Описание угроз, которые я встретил

(прим. — в расшифровке угроз могу ошибаться, не профессионал, если что, ткните меня)

* Doubt.h.BotCheck — описанный выше вирус. Если вы сами не делали клоаку на своем сайте, то значит кто-то редиректит ваш трафик к себе.

* Obfuscated.Globals.5.3 — обфусцированный (закодированный) код. Чаще всего названия файлов странные, проверьте старые бэкапы, скорее всего, этих файлов раньше вообще здесь не было, их нужно удалить полностью.

* Doubt.PHP.Spaces — а вот это интересная штука — подозрительное количество пробелов. Я уже удалил код, поэтому придется объяснять на сделанном на коленке примере. Например, у нас есть файл index.php, в котором лежит вот такой простой код

И вроде бы все выглядит нормально, и даже я не понимал, почему ругается Virusdie, но стоит крутануть файл вправо, и за пробелами мы видим спрятанный код.

Я не знаю, как это называется у хакеров и специалистов по безопасности, но это гениально.

И самое важное: просто удалить вирус недостаточно, нужно понять, где лежит дырка, через которую все это просочилось. Теперь придется включить смекалочку, посмотреть свои скрипты, перепроверить права на файлы и воспользоваться советами ниже.

Как не попасть под удар и не словить вирусов?

Несколько советов, так сказать, для профилактики:

Обновляйте версию WordPress до последней и устанавливайте расширения для защиты движка. Если интересно, о лучших плагинах расскажу в отдельной заметке, а то получится слишком объемно.
По возможности, не держите десятки и сотни скриптов на одном сервере. Больше кода — больше риска его взлома. Забросили сайт, не следите за ним, не обновляете — лучше скопируйте его на локальный компьютер и избавьтесь от его файлов на сервере, это поможет лежащим в соседних папках актуальным сайтам не схватить заразу.
На всякий случай, удалите Sypex Dumper. Говорят, что этот прекрасный скрипт, который не раз помогал мне перенести огромные базы данных без единой ошибки, является причиной взломов MySQL-баз. Не знаю, правда это или нет, но у себя на сервере я нашел 3 копии скрипта разных версий. Теперь стараюсь использовать его только при необходимости и сразу удалять.
Вообще, немножко паранойи никогда не повредит. Если сомневаетесь, проконсультируйтесь со своих сисадмином, хостером или хотя бы гуглом.

Вылечим любой сайт от вирусов за 2500 рублей.

Привет, друзья. Раз себя уж мы прорекламировали, можно переходить к основной теме статьи, это самостоятельное лечения сайта от вирусов. Вирусов бывает много, но в рамках этой статьи мы поговорим о трех распространенных видах: Obfuscated.Globals, Trojan.Inject и вредоносные JavaScript инъекции (его часто помечают как “подозрительный JavaScript код”).

Чтобы самостоятельно вылечить сайт от вирусов потребуется владение базовыми навыками веб-разработки, а именно:

● Умение ориентироваться в файлах сайта;

● Хорошо владеть основами управления хостингом;

● Быть уверенным пользователем SSH;

● На базовом уровне владеть PHP*;

● На базовом уровне владеть JavaScript*.

*Когда мы говорим “на базовом”, то имеем в виду, что Вы сможете отличить PHP код от JavaScript, знаете, что такое переменные, функции, условия и понимаете с каких строк начинается тот или иной язык.

P.S: Иногда файлы бывают конкретно так повреждены, что приходится переписывать весь файл на том или ином языке программирования (чаще всего это PHP).

Как вылечить сайт от вирусов

Итак, приступим. Сначала нужно определить какой же из трех видов вируса подхватил Ваш сайт: Obfuscated.Globals, Trojan.Inject или вредоносный JavaScript код. С этим пунктом Вам поможет лишь антивирус.

Чаще всего самый легкий вариант для лечения. Обычно легко внедряется в виде подгружаемого из вне скрипта во всякие CMS, где есть кеш — Битрикс, Webasyst. Выглядеть может так:

Естественно, это не код от Google Analytics, хотя неопытного пользователя это может ввести в заблуждение. Обычно вирусы просто маскируют таким образом. Всегда можно вырезать код из тега class="lazyload" data-src=”” и кинуть ссылку в Google.

Если, по какой-то причине Вы не знаете точного нахождения файла, то воспользуйтесь поиском через SSH. Обычно такое происходит, когда вирус показывает сторонний сервис-антивирус с какого-нибудь сайта.

Команда grep -rn “искомый текст” отлично подойдет. Если будете указывать ссылку на скрипт с HTML атрибутами, не забывайте про экранирование кавычек. Также, с помощью того же терминала можно запустить проверку всех файлов и показать какие из них были добавлены или изменены за месяц. Например, find -type f -mtime -30 ! -mtime -1.

За подробными описаниями этих команд просим проследовать в Google. Ибо если сейчас это тут объяснять может уйти еще килотонна букв (когда-нибудь мы напишем свою статью про работу с терминалом).

Чтобы избавиться от этой заразы, достаточно просто удалить эту нехорошую строчку и снова запустить антивирусную проверку.

Важно: иногда антивирусы принимают за “вредоносный JavaScript код” вполне нормальные скрипты, например, код от JivoSite или Callibri. Хотя антивирусы внутри хостинга reg.ru, nic, netangels почти не допускают таких ошибок.

В нашей практике чаще всего это обычный web shell. Это такой злой скрипт (а иногда веб-приложение), который используют для управления чужими сайтами и серверами: выполнения SSH команд, перебор паролей, доступ к файловой системе и т.д.

Если антивирус показал только строчки кода или название файла, можно воспользоваться терминалом и командами grep -rn (искать строчки кода с нужными словами) или find -name (искать файл по имени).

Здесь есть два стула…

Первый, это если злой файл оказался пришельцем. Вы хорошо знаете структуру своего сайта, поняли это, когда внимательно изучили сам файл (без этого никуда) или проверили через SSH появление/обновление файлов. Тогда просто его удаляйте.

Кстати, для того, чтобы нормально прочитать злой код, хорошо подойдет декодер PHP. Не факт, что Вы все сразу поймете, придется сильно напрячь мозги.

Второй, если инъекции подверглись важные файлы системы. Тут либо бэкап, либо страдать. Если бэкап не помогает, и мы выбираем страдания, то внимательно читаем сам код вируса (или файла), хотите Вы этого или нет. Ибо простое удаление повредит работоспособность Вашего сайта.

Опытный пользователь поймет, что это лишь искусственно воссозданный пример. Конечно, что-то подобное можно увидеть и в реальной жизни.

Если Вы нашли зашифрованную инъекцию, просто удалите ее начиная с .

Обфускация — процесс превращения очевидного в неочевидное.

Почти любой вирус проходит через обфускацию, поэтому, когда антивирус не уверен в содержимом файла, то он дает ему обозначение Obfuscated.Globals.

Через обфускацию проходит Doubt.Obfuscated.Globals, иногда Doubt.PHP.Spaces (более гениальное решение, стоит проскролить нормальный код направо и за кучей пробелов находишь “подвох”.) и даже Eval.gz.b64.short, хотя это закодированный base64, но автору статьи все равно. Ибо на первый взгляд это какие-то каракули.

Важно: иногда это может быть не вирус. В нашей практике программист шифровал важные куски кода для одного веб-приложения, и впоследствии антивирус указывал на наш код. Так что, если Вы когда-то шифровали файл сами — не пугайтесь.

Все такие же способы как с Trojan.Inject. Если известен только кусок кода или имя файла, включаем SSH и начинаем: grep -rn или find -name. Можно через терминал сравнивать все измененные файлы.

Здесь только два пути.

Первый. Делаем бекап всего сайта или нужного файла до состояния, когда он был “нормальным”.

Второй. Если бэкапа нет или он не помог. Идем в “злой” файл и ищем вредоносный код, а далее, как на скриншоте выше, удаляем его начиная с . Если весь наш файл зашифрован, то добро пожаловать в ад. Читаем, декодируем, удаляем ненужное или просто переписываем весь файл.

Если Вы удалили вирус, то нет смысла радоваться. Он ведь как-то попал на сайт, поэтому включите голову и ищите дырку! Возможно, обычное обновление Вашей CMS сможет закрыть этот вопрос. Если имеете дело с самописным движком, то проверьте корневые файлы сайта. Может, в каком-нибудь router.php реализация маршрутизатора URL сделана на школьном уровне. Кто знает, кто знает, дыр может быть много.

Вылечим любой сайт от вирусов за 2500 рублей.

Мой сайт (очень большой сайт сообщества) недавно был заражен вирусом. Каждый файл index.php был изменен таким образом, чтобы открывающий тег php этих файлов был изменен на следующую строку:

Когда я расшифровал это, он произвел следующий код PHP:

Я пробовал несколько вещей, чтобы очистить вирус, даже восстанавливая его из резервной копии, и файлы повторно заражаются через несколько минут или часов. Так что вы можете мне помочь?

Что вы знаете об этом вирусе?

Есть ли известная дыра в безопасности, которую он использует для установки и распространения?

Что на самом деле делает приведенный выше php-код?

Что делает страница, встроенная в iframe?

И, конечно, более важно: Что я могу сделать, чтобы избавиться от него?

Пожалуйста, помогите, у нас почти не осталось идей и надежды: (

Update1 Еще несколько деталей: странная вещь: когда мы впервые проверили зараженные файлы. Они были изменены, но их измененное время в программе ftp показывало, что последний доступ был днями, месяцами или даже годами назад в некоторых случаях! Как это вообще возможно? Это сводит меня с ума!

ОБНОВЛЕНИЕ 2 Я думаю, что проблема возникла после того, как пользователь установил плагин в своей установке Wordpress. После восстановления из резервной копии и полного удаления папки Wordpress и связанной с ней БД проблема, похоже, исчезла. В настоящее время мы подписались на службу безопасности, и они изучают проблему, просто чтобы убедиться, что взлом прошел навсегда. Спасибо всем, кто ответил.

7 ответов

Действия по восстановлению и лечению вашего сайта (при условии, что у вас есть надежная резервная копия).

1) Завершение работы сайта

Прежде чем приступить к исправлению ситуации, вам необходимо закрыть дверь на свой сайт. Это не позволит посетителям получать вредоносный код, видеть сообщения об ошибках и т. Д. Просто хорошая практика.

2) Загрузите копию всех ваших файлов с сервера

Загрузите все в отдельную папку из ваших хороших резервных копий. Это может занять некоторое время (зависит от размера вашего сайта, скорости соединения и т. Д.).

3) Загрузите и установите утилиту сравнения файлов /папок

4) Запустите утилиту сравнения файлов и папок

Вы должны получить несколько разных результатов:

Файлы идентичны. Текущий файл совпадает с вашей резервной копией и поэтому не подвержен влиянию.
Файл только слева /справа. Этот файл либо существует только в резервной копии (и, возможно, был удален с сервера), либо существует только на сервере (и может быть введен /создан хакером).
Файл отличается - файл на сервере не совпадает с файлом в резервной копии, поэтому он мог быть изменен вами (чтобы настроить его для сервера) или хакером (чтобы внедрить код).

5) Устраните различия

(a.k.a "Почему мы не можем просто ладить?")

6) Ознакомьтесь с мерами предосторожности

Является ли это простым изменением паролей FTP /cPanel или проверкой использования внешних /неконтролируемых ресурсов (поскольку вы упоминаете, что выполняете множество fgets, fopens и т. д., вы можете проверить параметры, передаваемые в как способ заставить скрипты извлекать вредоносный код) и т. д.

7) Проверка работоспособности сайта

Воспользуйтесь возможностью быть единственным, кто просматривает сайт, чтобы убедиться, что все работает должным образом после того, как зараженные файлы были исправлены и вредоносные файлы были удалены.

8) Откройте двери

Отмените изменения, внесенные в файл .htaccess на шаге 1. Внимательно следите. Следите за своим посетителем и журналами ошибок, чтобы увидеть, пытается ли кто-нибудь вызвать удаленные вредоносные файлы и т. Д.

9) Рассмотрим методы автоматического обнаружения

Существует несколько решений, позволяющих вам выполнить автоматическую проверку на вашем хосте (с помощью задания CRON), которая будет обнаруживать и детализировать любые происходящие изменения. Некоторые из них немного многословны (вы получите электронное письмо для каждого измененного файла), но вы должны иметь возможность адаптировать их к вашим потребностям:

10) Создавайте резервные копии по расписанию и сохраняйте хорошие скобки

Убедитесь, что на вашем веб-сайте запланировано резервное копирование, сохраните несколько из них, чтобы у вас было несколько шагов, чтобы при необходимости можно было вернуться назад во времени. Например, если вы выполняли еженедельное резервное копирование, возможно, вы захотите сохранить следующее:

4 х еженедельных резервных копии
4 х Ежемесячные резервные копии (вы сохраняете одну из еженедельных резервных копий, возможно, первую неделю месяца, в качестве ежемесячной резервной копии)

Это всегда облегчит жизнь, если кто-то атакует ваш сайт чем-то более разрушительным, чем атака с использованием кода.

О, и убедитесь, что вы также создаете резервные копии своих баз данных - на многих сайтах, основанных на CMS, наличие файлов - это хорошо, но если вы потеряете /повредите базу данных, стоящую за ними, резервные копии в основном бесполезны. >

Во-первых, закрывайте свой сайт, пока не сможете выяснить, как он вошел и как это исправить. Похоже, он подает вредоносное ПО вашим клиентам.

Я нашел скрипт на python, который я немного изменил, чтобы удалить трояна в файлах php, поэтому я опубликую его здесь для использования другими: источник кода из потока: заменить ВСЕ экземпляры символа с другим во всех файлах иерархически в дереве каталогов

python rescue.py корневая папка

Это то, что пытался сделать вредоносный скрипт:

Чтобы избавиться от этих вредоносных PHP, вам просто нужно их удалить. Если файл заражен, вам нужно удалить только ту часть, которая выглядит подозрительно.

Найти эти файлы всегда сложно, потому что обычно в вашем веб-корне их несколько.

Обычно, если вы видите какие-то запутывания, это красная тревога для вас.

Большинство вредоносных программ легко найти на основе общих функций, которые они используют, в том числе:

Используя формат кодирования, они сокращают свой размер и затрудняют декодирование неопытными пользователями.

Вот несколько команд grep , которые могут найти наиболее распространенный вредоносный код PHP:

Вы можете запускать эти команды на сервере или после синхронизации веб-сайта с локальным компьютером (через FTP, например, ncftpget -R ).

Или используйте средства сканирования, специально предназначенные для поиска вредоносных файлов такого типа, см. сканеры безопасности PHP .

В образовательных целях вы можете найти следующую коллекцию сценариев эксплойтов PHP, которые можно найти при исследовании взломанных серверов, по адресу kenorb /php-exploit-scripts GitHub (под влиянием @Mattias оригинальная коллекция ). Это даст вам понимание того, как выглядят эти подозрительные файлы PHP, и вы сможете узнать, как найти их больше на вашем сервере.

Убедитесь, что обновлены все популярные веб-приложения, такие как Wordpress или vBulletin. Существует много эксплойтов со старыми версиями, которые могут привести к взлому вашего сервера, и, вероятно, это произойдет снова, если они не будут обновлены. Бесполезно продолжать, пока это не будет сделано.

Если файлы продолжают заменяться, то в фоновом режиме выполняется руткит или троян. Этот файл не может копировать себя. Сначала вам придется избавиться от руткита. Попробуйте rkhunter , chkrootkit и LMD . Сравните вывод ps aux с защищенным сервером и проверьте /var/tmp и /tmp для подозрительных файлов. Возможно, вам придется переустановить ОС.

Чтобы это не повторилось, ежедневно запускайте csf или аналогичный брандмауэр LMD сканирует и остается в курсе последних обновлений безопасности для всех приложений на сервере.

Мои сайты /или сайты, на которых я размещаюсь, несколько раз подвергались подобным атакам.

Я представляю, что я сделал, чтобы решить проблему. Я не претендую на то, что это лучший /самый простой подход, но он работает, и с тех пор я могу активно удерживать мяч на своем поле.

запись cron будет выглядеть примерно так: 0 2 * * 5 /root /scripts /base64eval_scan> /dev /null 2 > & 1 &

Я обновил страницы, чтобы кто-то мог загружать файлы напрямую. Надеюсь, он будет полезен для вас, как и для меня:)

Предполагая, что это сервер на базе Linux и у вас есть доступ по SSH, вы можете запустить его, чтобы удалить код, вызывающий сбой:

Это охватывает все известные реализации base64 и будет работать независимо от того, будет ли текст base64 заключен в одинарные или двойные кавычки

РЕДАКТИРОВАТЬ: теперь работает и с внутренними пробелами

Как вообще понять, что сайт заражен?

Зачем ломать мой сайт, у меня же нет миллионной посещаемости?

Как ты избавился от 280 вирусов? Ты использовал Virusdie для лечения сайтов?

Описание угроз, которые я встретил

(прим. — в расшифровке угроз могу ошибаться, не профессионал, если что, ткните меня)

Я не знаю, как это называется у хакеров и специалистов по безопасности, но это гениально.

В заключение стоит отметить важную вещь: просто удалить вирус недостаточно, нужно понять, где лежит дырка, через которую все это просочилось. Теперь придется включить смекалочку, посмотреть свои скрипты, перепроверить права на файлы и воспользоваться советами ниже.

Как не попасть под удар и не словить вирусов?

Несколько советов, так сказать, для профилактики:

Обновляйте версию WordPress до последней и устанавливайте расширения для защиты движка. Если интересно, о лучших плагинах расскажу в отдельной заметке, а то получится слишком объемно.
По возможности, не держите десятки и сотни скриптов на одном сервере. Больше кода — больше риска его взлома. Забросили сайт, не следите за ним, не обновляете — лучше скопируйте его на локальный компьютер и избавьтесь от его файлов на сервере, это поможет лежащим в соседних папках актуальным сайтам не схватить заразу.
На всякий случай, удалите Sypex Dumper. Говорят, что этот прекрасный скрипт, который не раз помогал мне перенести огромные базы данных без единой ошибки, является причиной взломов MySQL-баз. Не знаю, правда это или нет, но у себя на сервере я нашел 3 копии скрипта разных версий. Теперь стараюсь использовать его только при необходимости и сразу удалять.
Вообще, немножко паранойи никогда не повредит. Если сомневаетесь, проконсультируйтесь со своих сисадмином, хостером или хотя бы гуглом.

Результат проверки антивируса Virusdie:

Название вируса	Путь до зараженного файла
PregReplace.E.1	/var/www/vhosts/u0068168.plsk.regruhosting.ru/httpdocs/roslodki.ru/plugins/system/yt/includes/libs/minify/lib/memcache-2c0.php
Eval.rot13	/var/www/vhosts/u0068168.plsk.regruhosting.ru/httpdocs/roslodki.ru/plugins/system/yt/includes/libs/minify/lib/memcache-2c0.php
PregReplace.E.1	/var/www/vhosts/u0068168.plsk.regruhosting.ru/httpdocs/roslodki.ru/libraries/joomla/cache/bin-58a.php
Eval.rot13	/var/www/vhosts/u0068168.plsk.regruhosting.ru/httpdocs/roslodki.ru/libraries/joomla/cache/bin-58a.php
Eval.b64	/var/www/vhosts/u0068168.plsk.regruhosting.ru/httpdocs/roslodki.ru/modules/mod_callback/helper.php
Eval.b64.short	/var/www/vhosts/u0068168.plsk.regruhosting.ru/httpdocs/roslodki.ru/modules/mod_callback/helper.php

Чтобы задать вопрос или посмотреть ответы на уже существующие вопросы необходимо авторизоваться.

Логин и пароль для доступа к форуму приходит автоматически на почту, сразу после покупки курса(ов).

Последняя версия
CMS Joomla — бесплатная система управления контентом с открытым исходным кодом. Джумла постоянно обновляется, имеет огромное количество расширений и позволяет создавать любые типы сайтов.

" >Joomla ! — 3.9.15
(от 28.01.2020)

Joomla.center is not affiliated with or endorsed by the Joomla! Project or Open Source Matters. The Joomla! name and logo is used under a limited license granted by Open Source Matters the trademark holder in the United States and other countries.

Joomla!® является торговой маркой компании Open Source Matters inc в США и др. странах. Название Joomla! и его вариации используются в рамках ограниченной лицензии, определённой компанией Open Source Matters. Проект joomla.center не относится к компании Open Source Matters или проекту Joomla! Точки зрения представленные на данном сайте не являются официальными точками зрения Joomla Project или Open Source Matters. Торговая марка Joomla® и логотип используются в рамках ограниченной лицензии, предоставленной Open Source Matters.

Please publish modules in offcanvas position.

#ЛучшеДома. На время изоляции скидка на все курсы 40%. Подробнее

Читайте также: