În interiorul acestui cod base64, se ascundea redirecționarea către un site cu conținut discutabil. A devenit evident că site-ul a fost infectat și era necesar să-l tratezi. Un calcul rapid a arătat că aproape toate fișierele php ale site-ului au fost infectate - au existat aproximativ 16.000 de apariții ale acestei linii. Sub tăiere, câțiva pași pe care i-am luat pentru a elimina această problemă.
După o scurtă căutare, un fișier post.php extrem de suspect a fost găsit în directorul / images, aici sunt toate conținutul său:
Mulți dintre voi vor înțelege imediat ce face acest fișier - este cea mai simplă coajă, prin care puteți face aproape orice doriți cu site-ul - modificați sistemul de fișiere, vizualizați conținutul bazei de date etc. Cu ajutorul acestei cochilii au fost introduse incluziunile de cod malware menționate mai sus.
Găsirea acestui fișier în directorul de imagini a sugerat că fișierul a fost completat cu o componentă cu funcția de încărcare a fișierelor pe server (upload).
Am atras atenția asupra datei la care a fost creat dosarul. Creind jurnalele Apache în această perioadă, am văzut următoarele:
Apoi, scenariul dezvoltării evenimentelor a devenit evident: cineva tocmai a intrat în zona de administrare, și-a încărcat codul shell în directorul de imagini și apoi a început să-i folosească nestingherit. După ce am interogat proprietarul site-ului, temerile mele au fost confirmate - în acel moment pe site-ul admin al site-ului a fost o parolă standard, care a fost ușor să ridice intrusii.
Am șters fișierul post.php, iar restul fișierelor s-au vindecat cu acest script:
Poate că scenariul poate fi scris și mai concis, dar am decis să acționez mai fiabil.
Morala acestei fabule este următoarea: actualizați-vă motoarele CMS și nu folosiți parole simple!
Shamil, ideea este că virusul după el însuși poate lăsa mai multe "amprente" ca base64_decode ... Acest script caută astfel de amprente și le elimină din aceste fișiere. Fișierele infectate au fost mii, deci nu a fost o opțiune de curățare a mâinilor.
tam: ... virusul după el însuși poate lăsa mai multe "amprente" ca base64_decode ... Acest script caută astfel de amprente și le elimină din aceste fișiere ...
Te înțeleg. Ai putea să mă ajuți, spune-mi cum să lucrez cu acest scenariu. Și dacă este posibil mai mult în detaliu, sunt în această învățare nouă. Aș fi foarte recunoscător dacă vă ajutați să scapi de urme
Rulați acest script pe server și voila. Trebuie doar să schimbați valoarea "DQplcn ... KfQ ==" pe cont propriu.