Как удалить вирус типа base64_decode

Просмотров: 42442Комментарии: 9
РуководстваCMS

Пару месяцев назад, а может и больше я столкнулся на одном из своих хостингов с подобным вирусом, сразу конечно не понял в чем дело и не придал этому значения. Почистил сайты вроде всё хорошо и забыл, через некоторое время Яндекс присылает письмо на вашем сайте вирус типа base64_decode. Полез смотреть точно, сайты тут же выпали из индекса.

Начал я борьбу с лечением сайтов от вируса. У меня получилось что в одном аккаунте хостинга лежало около десяти сайтов, которые были на разных CMS и все они были заражены. Найти через какой была найдена уязвимость очень сложно сразу так.

Первым делом было конечно же удаление вируса со всех файлов с расширением *.php

Почитал форумы и вот что нашел:

1. Скрипт удаления вредоносного кода 3309 от icom суть работы скрипта просто, закидываете на фтп файл из архива запускаете его так:

http://имясайта/replace.php?pas=joomla

И не важно стоит у вас там Joomla, WP, Drupal и т.д. проверено работает на любой CMS.

Вот как и что надо делать:

удаление вируса base64
 

В окно (Текст поиска) добавляете ваш вирусный код eval (base64_decode и т.д. Ставите птичку в замене и всё нажимаем кнопку искать.

Скрипт очень хорошо, но иногда он не хотел работать выдавал ошибку, какую я точно не помню уже но было дело с ним такое.

2. Если не получалось удалить вирусный код eval (base64_decode, тогда приходилось лечить другим способом, можно сказать самым примитивным. Скачивался архив сайта, на компе распаковывал и программой @Text Replacer 2135 находил во всех файлах с расширением *.php указанный мой код base64_decode. Потом после чистки упаковка и заливка назад на ftp архива сайта.

3. После удаления я обычно проверял сайты на вредоносный код ещё одним скриптом это сканер поиска Shell and BackDoor 2743. Пользоваться им тоже легко и просто, заливаем на фтп запускаем в браузере файл, он некоторое время сканирует и показывает где есть вирусный код.

4. Также дополнительно в последнее время смотрел ещё и скриптом AI-Bolit 2210 - это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге. Сам скрипт постоянно обновляется и развивается. Суть работы как и у других заливаем и запускаем, смотрим, анализируем и удаляем вирусы.

Один из вариантов удаления вредоносного кода, если у вас есть SSH доступ к вашему хостингу.

Вот такая небольшая инструкция как удалить вирус или вредоносный код eval (base64_decode со всех файлов с расширением *.php.

Ещё хотелось отметить что удалял я долго и точно вычислить сайт через который было заражение 100% пока не смог. Одно могу сказать что вероятнее всего залит был через сайт под управлением CMS Joomla.

Думаю в дальнейшем будет ещё один пост на эту тему, так что следите за обновлениями хоть и не частыми. :)

Комментариев: 9 RSS

1 vska.hacker 23-08-2012 04:12

Вообще лучшим лечением является снос всего сайта :D (практиковал много раз, но не от вирусов).

Лучше Вам сменить все пароли и логины для доступа к сайтам.

Если кто то смогу получить доступ к панели хостинга то возможно проблемы еще будут. (если проблема не у Вас, а у хостинга в безопасности, лучше его смените).

И так... Нафига сносить cms ?

Все просто, в php находятся вирусы.. Нету смысла искать их или же пытаться вылечить.

Гораздо быстрее скопировать базу данных или же воспользоваться резервной копией базы.

Изображения редко но заражают (знаю из опыта), можете в принципе не волноваться за них.

Оставьте их как они есть. (рекомендую для любого сайта держать отдельную директиву изображений).

Шаблон сайта у Вас уже есть...

Смена joomla's идет около 2 - 5 мин. Wp - еще меньше....

так что проще напросто удалить cms И не искать вирус................

Лучше найдите уязвимость сайта и исправьте ее.

В 90% случаях статистика хостинга Вам очень сильно поможет, в лог файлах лежит самая нужная информация об уязвимости сайта.

З.Ы.

Вообще человек который заразил сайт, хотел навредить (черный хакер)

А лучше бы он заменил Вашу рекламу на совою(конечно если она есть на сайте) (белый хакер).

Вот блин и разница между добром и злом :D

2 Вера 05-12-2012 22:20

А у меня не получается воспользоваться кодом. После загрузки на сервер по ссылке открывается просто пустое окно.

3 Петька 09-01-2013 01:22

Скрипт хороший. Работает.

Внесу свою лепту в борьбу с этими гадами.

У меня 6 сайтов на одном хостинге. Я нашел сайт(дырявый) на хостинге таким образом: Посмотрел в корне каждого папочку images. Так вот в одной из таких папочек одного из сайтов нашел файлик pst.php

Это и есть заразный сайтик. Удаляйте этот файлик из папки images. Меняйте пароли ко всему касаемого этого сайта(ну для профилактики).

Да и не забудьте проделать процедуру удаления вредоносного кода, описанную автором в этой теме.

4 alnicX 09-01-2013 14:55

Не могу скачать скрипт из первого пункта!

5 Комментатор 421 20-01-2013 09:32

Спасибо за скрипт! Очень помогли, удалила всю эту гадость, оказалась дырявой папка images/stories (joomla)

6 Dane 24-01-2013 12:01

Статья безусловно полезна. Скажу - спасибо. Но почему в файле со сканером поиска Shell and BackDoor присутствует строка eval(base64_decode.... ?

7 Ирина 05-03-2013 13:35

Спасибо :) осталось найти файл, распространяющий вирус...

8 Андрей 05-04-2013 10:03

Спасибо помогло. Если кому нужен файл - то он лежит в папке images/stoies там php файл - его там быть не должно.

9 Георгий 04-05-2013 15:43

base64_decode можно удалить путём запуска такой команды в SSH :

find -type f -name *.php | xargs fgrep -l 'eval(base64_decode' | xargs -I{} sed -i 's|eval(base64_decode("DQplcnJ.*));||' {}

Отследить последовательность проникновения можно по логу обращений + дата создания/изменения вредоноса .

Оставьте комментарий!


Комментарий будет опубликован после проверки

     

  

MaxSiteAuth.

(обязательно)