Ahogy azt már a helyszínen a vírus kezeltük

Egy barátom panaszkodott, hogy a helyszínen rendszeresen podglyuchivaet. Érdemes megjegyezni, hogy a helyszínen hajtja CMS Joomla beadásra. Elkezdtem vizsgálja szerverre, és megakadt a szemem egy olyan kódsort az egyik php-files:

Ezen belül a base64-kód rejtőzik irányít át a website megkérdőjelezhető tartalmak. Nyilvánvalóvá vált, hogy a helyszínen elfertőződött, és volt, hogy kezelje őt. Egy gyors számítás azt mutatta, hogy a fertőzött szinte minden php-files site - előfordulásával, hogy a húr körülbelül 16 ezer. Cut alatt néhány lépést, amit tett a probléma kiküszöbölésére.

Némi keresgélés után találták felettébb gyanús post.php filet a / images, ennyi az egész tartalmát:

Sokan akkor azonnal látja, hogy ez a fájl nem - ez csak a héj, amelyen keresztül szinte bármit megtehet a webhely - megváltoztatni a fájlrendszert, megtekintheti a tartalmát az adatbázis, stb Éppen ez shell, és arra készült, hogy a rosszindulatú kódot említettük.
Megtalálni a fájlt a képek könyvtár azt javasolta, hogy a fájl már tele a segítségével néhány alkatrész fájl feltöltés funkció a szerveren (feltöltés).
Ő hívta fel a figyelmet, hogy a fájl létrehozásának dátuma. Felvette az Apache naplóit idő alatt, ott láttam a következő:

Ezt követően nyilvánvalóvá vált forgatókönyv: valaki egyszerűen elment az admin felületen, a feltöltött képeket a katalógusban héját-kódot, majd elkezdte használni szabadon. Miután kérve a webhely tulajdonosa, a félelmeim is megerősítették - az akkori helyén állt admin alapértelmezett jelszó volt könnyű felvenni a támadók.

Eltávolítottam a post.php fájlt és más fájlokat gyógyítható segítségével egy ilyen script:

Talán akkor írj egy forgatókönyvet, és tömörebben, de úgy döntöttem, hogy megbízhatóan működjön.

A történet tanulsága a következő: frissíti a CMS-motorok, és nem egyszerű jelszavakat!

Shamil, a lényeg az, hogy a vírus hátrahagyva több „kiírja” mint base64_decode ... script, hogy néz ki egy ilyen ujjlenyomatok és eltávolítja azokat a fájlokat. Fertőzött fájlok ezreit, így a tiszta kezek nem volt lehetőség.

tam: ... a vírus hátrahagyva több „kiírja” mint base64_decode ... Ez a szkript úgy néz ki ezek a képek és törli őket a ezeket a fájlokat ...

Azt értem. Tudna nekem segíteni, mondani, hogy ez a script működik. És ha ez lehetséges részletesebben, én egy kezdő gyakornok. Azt nagyon hálás lenne, ha segít megszabadulni a nyomait

Akkor ezt a szkriptet a kiszolgálón, és íme. Ez csak akkor szükséges, hogy módosítsa az értéket a «DQplcn ... KfQ ==» saját.

Kapcsolódó cikkek

• Kezeli orvos! Weboldal egészségügyi, betegségek, diagnosztikai módszerek és kezelési

• Weboldal bevételi forrás

• Weboldal kommunisták szentpétervári kommunista párt nem hősök díjat