Начинается все, с вот такого милого сообщения от хостера клиенту, цитирую с некоторыми купюрами
Здравствуйте!
Домен newglas.ru заблокирован за рассылку спам сообщений.
Спам рассылался скриптом r.php, выдержка из лога:
1 2 3 4 |
98.130.0.219 – - [15/Jun/2014:18:59:48 +0400] "POST /r.php HTTP/1.0" 200 220 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 192.227.242.217 – - [15/Jun/2014:19:01:52 +0400] "POST /r.php HTTP/1.0" 200 207 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)" 200.57.147.120 – - [15/Jun/2014:19:04:14 +0400] "POST /r.php HTTP/1.0" 200 220 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; chromeframe; SLCC1)" 62.109.27.98 – - [15/Jun/2014:19:06:06 +0400] "POST /r.php HTTP/1.0" 200 212 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) Comodo_Dragon/4.0 Chrome/4.0 Safari/532.5" |
Кроме этого спам скрипта, антивирус нашел следующие зараженные файлы:
1 2 3 4 5 6 7 8 |
httpdocs/images/images.php: PHP.Hide FOUND httpdocs/images/stories/im6207n6g.gif: PHP.Hide FOUND httpdocs/images/stories/im4566n9g.gif: PHP.Hide FOUND httpdocs/images/stories/im4760n2g.gif: PHP.Hide FOUND httpdocs/images/stories/muakero.php: PHP.Hide FOUND httpdocs/images/stories/im5617n0g.gif: PHP.Hide FOUND httpdocs/includes/domit/lo4754.php: Trojan.PHP-43 FOUND<em> Для разблокировки, исправьте пожалуйста, проблему. </em> |
Пошагово.
1. Для поиска вирусов скачиваем мой fsCure .
2. Распаковываем его в корень сайта.
3. Просим хостера разблокировать сайт. Обычно хостер соглашается, если удалить файлы из письма. На время лечения важно заблокировать сайт для других. Чтобы остановить рассылку спама и прочие вредоносные функции.
Я делаю это строчками в .htaccess
1 2 3 4 |
Order deny,allow deny from all # Список IP через пробел, с которых доступ разрешен Allow from 188.88.88.88 |
Где 188.88.88.88 — мой IP. Впрочем можно вписать и несколько айпи, например дать доступ клиенту.
4. запускаем мой антивирусник по адресу. http://имя.сайта/fscure/
При первом запуске скрипт составляет список файлов и проверяет подозрительные сигнатуры. Их список можно увидеть внизу. Сами сигнатуры можно настроить в config.php . Вот так обычно выглядит скрипт после запуска.
Первое что нужно сделать после запуска, это настроить сортировку. Вирусы скорее всего попали на сайт последними. На скрине видно, что время модификации файлов меньше, чем время создания. Значит сортируем по времени создания.
Файлы у которых подозрительные сигнатуры, например eval ( base64_decode( проверяем кликая по ссылке.
. Вот так например выглядит зашифрованный Filesman PHP.shell , он же Trojan.PHP-43, backdoor.php.phpshell . Кнопа "Удалить" поможет герою.
Далее рутина, нужно проверять подряд все подозрительные файлы. С некоторым опытом, вы начнете угадывать по названию и сигнатрам наличие вируса. А пока придется смотреть код.
Рутину можно сократить активно используя поиск. Найдя очередной вир, вобьем в поиск уникальную строку(сигнатуру) из тела вируса. Например "base64_decode($_POST"
Нашлись три файла. Файлы маленькие, у 2-х размер совпадает. Поэтому достаточно проверить один из них и удалить все.
Важно! Не забываем после удаления перегрузить список сканера.
А вот прекрасное. Часто встречающиеся с картинки с однотипными названиями, например im4966n9g.gif. Смотрим исходный код "картинки" и видим.
1 2 |
GIF89a1 <?php eval ( stripslashes( @ $_POST[ (chr (... |
Эта штука именуется PHP.Hide . Любимая среда обитания в Джумле — папка images/stories/ и image/banners/
При использовании поиска, может оказаться что в выдаче есть, как файлы содержащие только тело вируса , так и рабочие файлы, в которых вирус дописан в начале. Обычно такой класс именуется у антивирусников php.inject.shell, например поиском по сигнатуре if(isset($_REQUEST находим.
Выкладываю ссылкой несколько скринов что делать
1. Файлы с разным размером. Что то из них malware, что то нет.
2. Скрин с размером 2056. В нём только вирус. В файлах меньшего размера аналогично
3.Скрин файла с размером 21968. Полностью рабочий файл. Несмотря на наличие сигнатуры вируса нет. Нельзя удалять.
4. Добавляем в поиске "искать файлы размером менее 2057" Жмем "Ок". Можно пользоваться кнопкой "Удалить все" .После каждого удаления, не забываем перегрузить список файлов.
После удаления php вирусов, проверям javascript. Его на сайте обычно немного, поэтому я предпочитаю проверять его вручную в Файрефоксе, через Webdeveloper Tools-> Information->View Javascript . Вирусные вставки в джаваскрипт обычно вначале или в конце. Если джаваскрипт обфусцирован обычно проще проверить его с сайта источника, чем заниматься деобфускацией.
Вы можете обратиться ко мне за помощью в лечениии сайта.
Стоимость работы всего 800 руб.
Работа займет 1.5 – 2часа.
Вы получаете:
— поиск и устранение вируса и вредоносного кода— устранение уязвимости
— 6 месяцев гарантии
Контакты
Свежие комментарии