Help needed: php вирус
Рубрики: php, SEO, wordpress ; Метки: вирус, безопасность, уязвимость ; 21.09.2009Сегодня я разбирался с одним дружественным блогом на WordPress - из любопытства я взглянул как то на html, и выяснил, что там простынка спамлинков, которые не имеют атрибут скрытого текста, и обычным пользователям не видны. Я думал, что поражена тема. Да - действительно, вся тема заражена, но копнув дальше, выяснил, что поражены все файлы на сервере. Да, уж, залетели друзья. Как же вычещять эту заразу? Думаю достаточно какой то хитрой команды в шелле, чтобы произвести массовую замена текста во всех файлах. Только вот какую? Я не знаю - не хватает квалификации. Может быть кто что подсказать?
Подписаться на RSS комментариев к этой записи
Ранее Восстанавливая память про sql | Позже Почему нет музыкальных центров с интернетрадио
22.09.2009 в 14:39
Если коротко:
man find
man sed
Навскидку (перед использованием сделать backup):
find . -name '*.html' -exec sed 's/foo/bar/g' {} > {} \;
22.09.2009 в 15:06
Спасибо, буду курить. Сегодня выделил немного времени чтобы поглядеть внутренности вируса - пдва вложенных eval(base64_decode, после чего получается код ообработанный обфускатором - длинные названия функций и переменных из случайных букв и цифр, плюс еще дополнительные участки с gzdecode - при написании кто то сильно извращался.
22.09.2009 в 16:06
какая версия ВП?
22.09.2009 в 16:22
wp 2.8 с чем то там. Заражение произошло через плагин к tinymce не через wp, по крайней мере все вставки дергают скрипт из папки плагина,,и чтобы временно заткнуть дыру, просто достаточно удалить этот один файл. Сам файл 180Кб, вставка 3Кб, после распарсивания файла он около 90Кб. Вообще же интересно посмотреть на детали вируса - права на файлы не изменены, а запись произведена.
02.11.2009 в 23:33
Чем дальше тем все меньше надежды к этому движку! То вирусы цепляет. то ссылок насуют. Вобщем пишу свой скрипт блога.
03.11.2009 в 12:30
Движок сайта дело не простое, посмотри на мой движок блоголёт:
http://blogolet.ru/
29.11.2009 в 22:34
Да залетели друзья, как они все это лечить будут??
29.11.2009 в 23:08
Вылечили и достаточно легко - изначально все же надо было погуглить по первой строке имплойда, где и было как раз написано, как одной шелл коммандой вылечить
05.12.2009 в 19:32
По поводу: eval(base64_decode
Вы бы прежде чем говорить что это вирус, расшифровали что там написано =)
Это можно сделать к примеру тут - http://www.tareeinternet.com/scripts/decrypt.php
Или тут - http://base64-encoder-online.waraxe.us/
Так что не всё то вирус что выглядит как большой и страшный код =) обычно это всего лишь копирайты создателей от халявщиков, сам с этим боролся, и переборол, как можно заметить =)
05.12.2009 в 20:25
Ну интересный способ рассуждать :) Реально то был вирус безо всяких вариантов, при этом достаточно сложно зашифрован опфускатором, с несколькими вложенными eval(base64_decode