Eval b64 short что за вирус
Вылечим любой сайт от вирусов за 2500 рублей.
Привет, друзья. Раз себя уж мы прорекламировали, можно переходить к основной теме статьи, это самостоятельное лечения сайта от вирусов. Вирусов бывает много, но в рамках этой статьи мы поговорим о трех распространенных видах: Obfuscated.Globals, Trojan.Inject и вредоносные JavaScript инъекции (его часто помечают как “подозрительный JavaScript код”).
Чтобы самостоятельно вылечить сайт от вирусов потребуется владение базовыми навыками веб-разработки, а именно:
● Умение ориентироваться в файлах сайта;
● Хорошо владеть основами управления хостингом;
● Быть уверенным пользователем SSH;
● На базовом уровне владеть PHP*;
● На базовом уровне владеть JavaScript*.
*Когда мы говорим “на базовом”, то имеем в виду, что Вы сможете отличить PHP код от JavaScript, знаете, что такое переменные, функции, условия и понимаете с каких строк начинается тот или иной язык.
P.S: Иногда файлы бывают конкретно так повреждены, что приходится переписывать весь файл на том или ином языке программирования (чаще всего это PHP).
Как вылечить сайт от вирусов
Итак, приступим. Сначала нужно определить какой же из трех видов вируса подхватил Ваш сайт: Obfuscated.Globals, Trojan.Inject или вредоносный JavaScript код. С этим пунктом Вам поможет лишь антивирус.
Чаще всего самый легкий вариант для лечения. Обычно легко внедряется в виде подгружаемого из вне скрипта во всякие CMS, где есть кеш — Битрикс, Webasyst. Выглядеть может так:
Естественно, это не код от Google Analytics, хотя неопытного пользователя это может ввести в заблуждение. Обычно вирусы просто маскируют таким образом. Всегда можно вырезать код из тега class="lazyload" data-src=”” и кинуть ссылку в Google.
Если, по какой-то причине Вы не знаете точного нахождения файла, то воспользуйтесь поиском через SSH. Обычно такое происходит, когда вирус показывает сторонний сервис-антивирус с какого-нибудь сайта.
Команда grep -rn “искомый текст” отлично подойдет. Если будете указывать ссылку на скрипт с HTML атрибутами, не забывайте про экранирование кавычек. Также, с помощью того же терминала можно запустить проверку всех файлов и показать какие из них были добавлены или изменены за месяц. Например, find -type f -mtime -30 ! -mtime -1.
За подробными описаниями этих команд просим проследовать в Google. Ибо если сейчас это тут объяснять может уйти еще килотонна букв (когда-нибудь мы напишем свою статью про работу с терминалом).
Чтобы избавиться от этой заразы, достаточно просто удалить эту нехорошую строчку и снова запустить антивирусную проверку.
Важно: иногда антивирусы принимают за “вредоносный JavaScript код” вполне нормальные скрипты, например, код от JivoSite или Callibri. Хотя антивирусы внутри хостинга reg.ru, nic, netangels почти не допускают таких ошибок.
В нашей практике чаще всего это обычный web shell. Это такой злой скрипт (а иногда веб-приложение), который используют для управления чужими сайтами и серверами: выполнения SSH команд, перебор паролей, доступ к файловой системе и т.д.
Если антивирус показал только строчки кода или название файла, можно воспользоваться терминалом и командами grep -rn (искать строчки кода с нужными словами) или find -name (искать файл по имени).
Здесь есть два стула…
Первый, это если злой файл оказался пришельцем. Вы хорошо знаете структуру своего сайта, поняли это, когда внимательно изучили сам файл (без этого никуда) или проверили через SSH появление/обновление файлов. Тогда просто его удаляйте.
Кстати, для того, чтобы нормально прочитать злой код, хорошо подойдет декодер PHP. Не факт, что Вы все сразу поймете, придется сильно напрячь мозги.
Второй, если инъекции подверглись важные файлы системы. Тут либо бэкап, либо страдать. Если бэкап не помогает, и мы выбираем страдания, то внимательно читаем сам код вируса (или файла), хотите Вы этого или нет. Ибо простое удаление повредит работоспособность Вашего сайта.
Опытный пользователь поймет, что это лишь искусственно воссозданный пример. Конечно, что-то подобное можно увидеть и в реальной жизни.
Если Вы нашли зашифрованную инъекцию, просто удалите ее начиная с .
Обфускация — процесс превращения очевидного в неочевидное.
Почти любой вирус проходит через обфускацию, поэтому, когда антивирус не уверен в содержимом файла, то он дает ему обозначение Obfuscated.Globals.
Через обфускацию проходит Doubt.Obfuscated.Globals, иногда Doubt.PHP.Spaces (более гениальное решение, стоит проскролить нормальный код направо и за кучей пробелов находишь “подвох”.) и даже Eval.gz.b64.short, хотя это закодированный base64, но автору статьи все равно. Ибо на первый взгляд это какие-то каракули.
Важно: иногда это может быть не вирус. В нашей практике программист шифровал важные куски кода для одного веб-приложения, и впоследствии антивирус указывал на наш код. Так что, если Вы когда-то шифровали файл сами — не пугайтесь.
Все такие же способы как с Trojan.Inject. Если известен только кусок кода или имя файла, включаем SSH и начинаем: grep -rn или find -name. Можно через терминал сравнивать все измененные файлы.
Здесь только два пути.
Первый. Делаем бекап всего сайта или нужного файла до состояния, когда он был “нормальным”.
Второй. Если бэкапа нет или он не помог. Идем в “злой” файл и ищем вредоносный код, а далее, как на скриншоте выше, удаляем его начиная с . Если весь наш файл зашифрован, то добро пожаловать в ад. Читаем, декодируем, удаляем ненужное или просто переписываем весь файл.
Если Вы удалили вирус, то нет смысла радоваться. Он ведь как-то попал на сайт, поэтому включите голову и ищите дырку! Возможно, обычное обновление Вашей CMS сможет закрыть этот вопрос. Если имеете дело с самописным движком, то проверьте корневые файлы сайта. Может, в каком-нибудь router.php реализация маршрутизатора URL сделана на школьном уровне. Кто знает, кто знает, дыр может быть много.
Вылечим любой сайт от вирусов за 2500 рублей.
После поста о взломе моих сайтов и успешном их лечении мне написали пару вопросов о том, каким образом чистятся файлы, не удалились ли после лечения все файлы с сервера и не становится ли вообще хуже после использования сервиса Virusdie.
Удивительно, сегодня можно нагуглить сотни тысяч советов о том, как очистить от паразитов свой дырявый Windows, но не так много информации о том, как чистить именно блоги, лендинги и т.д. Решил поподробнее рассказать, какие типичные вирусы обычно хватают сайты, как их лечить и что для этого нужно.
Как вообще понять, что сайт заражен?
Зачем ломать мой сайт, у меня же нет миллионной посещаемости?
По статистике, одни из самых популярных систем управления — WordPress и Joomla, их версии обновляются почти каждый месяц, вносится исправления в код, улучшается безопасность. Старые же версии так и остаются с дырами, а багрепорты становятся известны любому интересующемуся. Поэтому ничто не мешает какому-нибудь молодому умному Мистеру Роботу прочекать сайты на сервере, найти не обновленные и использовать уязвимость в своих целях.
Как ты избавился от 280 вирусов? Ты использовал Virusdie для лечения сайтов?
В принципе, я пока знаю только два эффективных способа избавиться от вредоносного кода: пытаться копаться в нем самостоятельно, перелопачивать файлы, мониторить время изменения и размеры, либо пользоваться внешними сервисами для анализа. Один из таких редких сервисов — Virusdie.
Их решение сейчас встроено в некоторые виртуальные хостинги (в предыдущем посте упоминали рег.ру), в случае, если у вас собственный сервер, то удобно использовать модуль для ISPmanager.
После установки модуля переходим в раздел Virusdie в левой колонке. Иногда может потребоваться перезагрузка панели ISP или всего сервера, чтобы менюшка появилась.
Кликаем на самый свежий отчет (автоматически на вирусы сервер будет проверяться каждую ночь) и смотрим, какие файлы подверглись заражению и имя вируса.
Если кликнуть на угрозу, можно посмотреть на кусок зараженного кода. В случае с первой строчкой (.htaccess файл с угрозой Doubt.h.BotCheck) получаем такое сообщение:
Это вирус, записанный в htaccess, он берет посетителя с определенного источника или устройства (чаще всего мобильных пользователей) и редиректит на свою страницу. Для лечения его надо найти примерно такого вида код
И удалить его. К сожалению, Virusdie не всегда автоматически удаляет код из файлов, часто нужно самому залезть в них и вычистить вредоносные строки. Но самое главное уже сделано — дан полный адрес, куда копать и строки, на которые обратить внимание.
Описание угроз, которые я встретил
(прим. — в расшифровке угроз могу ошибаться, не профессионал, если что, ткните меня)
* Doubt.h.BotCheck — описанный выше вирус. Если вы сами не делали клоаку на своем сайте, то значит кто-то редиректит ваш трафик к себе.
* Obfuscated.Globals.5.3 — обфусцированный (закодированный) код. Чаще всего названия файлов странные, проверьте старые бэкапы, скорее всего, этих файлов раньше вообще здесь не было, их нужно удалить полностью.
* Doubt.PHP.Spaces — а вот это интересная штука — подозрительное количество пробелов. Я уже удалил код, поэтому придется объяснять на сделанном на коленке примере. Например, у нас есть файл index.php, в котором лежит вот такой простой код
И вроде бы все выглядит нормально, и даже я не понимал, почему ругается Virusdie, но стоит крутануть файл вправо, и за пробелами мы видим спрятанный код.
Я не знаю, как это называется у хакеров и специалистов по безопасности, но это гениально.
И самое важное: просто удалить вирус недостаточно, нужно понять, где лежит дырка, через которую все это просочилось. Теперь придется включить смекалочку, посмотреть свои скрипты, перепроверить права на файлы и воспользоваться советами ниже.
Как не попасть под удар и не словить вирусов?
Несколько советов, так сказать, для профилактики:
- Обновляйте версию WordPress до последней и устанавливайте расширения для защиты движка. Если интересно, о лучших плагинах расскажу в отдельной заметке, а то получится слишком объемно.
- По возможности, не держите десятки и сотни скриптов на одном сервере. Больше кода — больше риска его взлома. Забросили сайт, не следите за ним, не обновляете — лучше скопируйте его на локальный компьютер и избавьтесь от его файлов на сервере, это поможет лежащим в соседних папках актуальным сайтам не схватить заразу.
- На всякий случай, удалите Sypex Dumper. Говорят, что этот прекрасный скрипт, который не раз помогал мне перенести огромные базы данных без единой ошибки, является причиной взломов MySQL-баз. Не знаю, правда это или нет, но у себя на сервере я нашел 3 копии скрипта разных версий. Теперь стараюсь использовать его только при необходимости и сразу удалять.
- Вообще, немножко паранойи никогда не повредит. Если сомневаетесь, проконсультируйтесь со своих сисадмином, хостером или хотя бы гуглом.
Вылечить сайт от вирусов (Modx, WP). • Фриланс-проект ≡ Заказчик Анастасия Сергеевна
Атака на MODX Evolution и что с этим делать
- Не происходит переходов по ссылкам в меню сайта
- Не открывается главная страница
- Не открывается админка
- Хостер пишет гневные письма о массовой рассылке СПАМа с Вашего аккаунта и отключает функцию mail()
- В файловой структуре сайта присутствует множество левых файлов и директорий с непонятными названиями.
Базу бэкапим с хостинга через тот же phpMyAdmin посредством экспорта. Если админка сайта работает, то можно сделать бэкап через меню Инструменты -> Резервное копирование.
В общем, после всех этих телодвижений у вас будет новый сайт безо всякой заразы. Делайте бекап и спите спокойно )
Безопасность - Школа MODX
Если вы еще ни разу не задумывались о безопасности своих сайтов, поздравляю вас, ваши сайты скорее всего заражены какой-нибудь гадостью.
Уверены, что это не так? Я буду искренне рад ошибиться. Но практика говорит об обратной тенденции. Огромная армия "веб-разработчиков" ни разу не обновляла движок, не просматривала логи, не проверяла наличие посторонних файлов, не меняла годами пароли. Сплошь и рядом встречаешь вопросы о древних версиях движка, а ведь это потенциальные "счастливчики", которые с высокой степенью вероятности являются частью ботнета.
Безопасность - это то, что может и должно делать вас настоящим параноиком. И как настоящий параноик вы должны делать все, чтобы не заразиться каким-нибудь трояном, дорвеем или шеллом.
Но не надо думать, что MODX это дырявый движок и что его постоянно взламывают. Взламывают абсолютно все движки и данная статья в равной степени относится к любой CMS платной или бесплатной. Вопрос безопасности в большинстве случаев зависит не от движка, а от отношения к безопасности сайта.
Вот несколько профилактических советов, которые не уберегут вас, но хотя бы помогут снизить риск:
Начну с самого банального и уже миллион раз сказанного. Никогда не используйте простые пароли! 123456, qwerty, password, admin, test и т.д. ЗАБУДЬТЕ ИХ НАВСЕГДА! Пароль должен состоять из случайного набора букв и цифр. Записывайте эти пароли и меняйте как можно чаще. И вообще, для кого я в левой колонке генератор паролей повесил?
Для поднятия настроения, которое дальше я вам буду усиленно портить, вот анекдот в тему:
— Извините, Ваш пароль используется более 30 дней, необходимо выбрать новый!— розы— Извините, слишком мало символов в пароле!— розовые розы— Извините, пароль должен содержать хотя бы одну цифру!— 1 розовая роза— Извините, не допускается использование пробелов в пароле!— 1розоваяроза— Извините, необходимо использовать как минимум 10 различных символов в пароле!— 1грёбанаярозоваяроза— Извините, необходимо использовать как минимум одну заглавную букву в пароле!— 1ГРЁБАНАЯрозоваяроза— Извините, не допускается использование нескольких заглавных букв, следующих подряд!— 1ГрёбанаяРозоваяРоза— Извините, пароль должен состоять более чем из 20 символов!— 1ГрёбанаяРозоваяРозаБудетТорчатьИзЗадаЕслиМнеНеДашьДоступПрямоБляСейчас!— Извините, этот пароль уже занят!
Про пароли и так вроде бы все всё знают, поэтому двигаемся далее. Знаете ли вы, что большинство сайтов на MODX имеют пользователя admin, причем это пользователь с административными правами? У вас не так? Поздравляю! Но большинство просто не догадывается использовать какой-то другой логин для администратора, потому что "так было в уроках". Ну а теперь представьте, что у вас администратор с логином admin и паролем 123456. И уверяю вас, таких умников хватает. Ах, да, вторым по популярности пользователем является manager. Беден и скуп русский язык на английские слова.
Кстати, вы уже 13595 посетитель, который неожиданно для себя решил попробовать подобрать логин и пароль к этому сайту :)
В сравнении с предыдущими двумя пунктами это не менее серьезно, но чтоб вы знали, 99,99% сайтов MODX Evolution имеют один и тот же адрес панели управления, и это не смотря на то, что теперь его можно легко менять. Смена адреса админки конечно же не гарантирует 100% защиты сайта, но потенциальному взломщику может усложнить процесс. Если вы настоящий параноик, вы знаете что нужно делать ;)
Для остальных рассказываю:
1. Переименовываете папку manager, например в reganam
2. В файле assets/cache/siteManager.php меняете manager на reganam
3. В файле robots.txt меняете запись Disallow: /manager/ на Disallow: /reganam/
Каждый движок обладает признаками, по которым его можно определить с высокой степенью вероятности. Есть такие и у MODX. Но это не означает, что вы должны сообщать всем прохожим, что ключ от вашей квартиры лежит под ковриком в подъезде. Да, кстати, этот сайт сделан на Джумле.
Чем больше прошло времени с момента выхода нового обновления до того момента, как вы решили обновиться, тем больше ваш сайт подвержен уязвимости. Выход новых версий, как правило, сопровождается списком внесенных изменений, в том числе и связанных с устранением дыр в системе безопасности. Этому могут предшествовать публикации о взломах или найденных дырах. Т.е. потенциально каждая новая версия движка снижает безопасность старых версий и подвергает их дополнительному риску. Но если вы любитель острых ощущений, просто проигнорируйте этот пункт.
Скрипты, модули, плагины, сниппеты - сколько всего интересных разработок, которые так и хочется использовать в своих проектах! Фу-фу-фу! Очень часто мы сами закачиваем вирусы на свой сервер. Это тот случай, когда самым опасным и уязвимым элементом сайта является его администратор!
Надежных хостингов не существует. Надежных виртуальных хостигов нет вообще. Миф разрушен. Но большинство сайтов расположены именно на виртуальных хостингах. Но, независимо от типа хостинга, выбирайте тот хостинг, где поддержка будет относиться к вам как заботливая мать к неразумному ребенку, т.е. вытирать вам нос на каждый чих. Пожалуй, это единственный объективный критерий любого хостинга.
Помимо непосредственной безопасности сервера, о которой вам никто ничего рассказывать не будет, у виртуальных хостингов есть еще одна повсеместная беда. Общественные IP адреса, которые вам выдают на виртуальном хостинге, очень часто попадают в блеклисты. Происходит это по понятным причинам, чем больше сайтов на одном IP тем выше вероятность заражения какого-нибудь сайта и как следствие блокировки IP. По этой причине НИКОГДА не заводите почтовый сервер на виртуальном хостинге. А если все таки нужна почта на домене, лучше используйте яндексовскую почту для доменов. Хостеры как могут борятся с этой бедой, но за блеклистами следует следить и самостоятельно, например, с помощью этого сервиса, и напоминать хостеру при необходимости.
Риск попадания в блеклисты резко снижает наличие выделенного IP, но за все в этом мире надо платить.
Настоящий параноик хочет только одного, да и этого немного, да почти что ничего, а конкретно он хочет защищенного соединения с сервером. Поэтому, если есть возможность, которую должен предоставить хостер, отказывайтесь от FTP в пользу SSH. Что это и с чем едят, советую изучить заочно. Скачайте SSH-клиент, например WinSCP и наслаждайтесь процессом. Если же ваш хостинг не предоставляет вам такого удовольствия, а предлагает влачить жалкое существование по FTP каналу, то ни в коем случае не храните свои пароли в FTP-клиенте. И пусть вам сопутствует удача.
Визуальный контроль ни коим образом не обезопасит, но вы имеете шанс своевременно узнать о взломе. А чем раньше вы это узнаете, тем проще будет решить проблему. В первую очередь уделяйте внимание системным сообщениям. Информация о том, что были изменены системные файлы является пожарной тревогой. Срочно ищите что было изменено и к чему это привело.
Периодически проверяйте сайт на подозрительные файлы. В этом вам поможет замечательный скрипт AI-Bolit. Несложная инструкция по установке находится здесь. Если у вас нет достаточных знаний, то просто сверяйте все подозрительные файлы с аналогичными из исходников движка.
Делайте бекапы. И этим все сказано. Кто не сохранился, я не виноват.
Большинство пользователей едят перед компьютером и сильно пачкают едой клавиатуру. Еда гниет и из клавиатуры начинают расползаться страшные и вредные вирусы. Поэтому, обязательно мойте руки до, после и желательно вместо клавиатуры. И это не шутка. Но если быть чуть ближе к теме, то под личной гигиеной я подразумеваю чистоту и безопасность тех устройств, через которые вы подключаетесь к серверу или работаете с сайтом. Не пренебрегайте проверками своего компьютера. Именно через ваш компьютер злоумышленникам проще всего добраться до вашего сайта.
Итак, вы прониклись и стали настоящим параноиком в безопасности вашего сайта. Но вас все равно взломали. А я предупреждал, что советы советами, а вирусы все равно не дремлют, в отличии от вас. И первый вопрос, что делать? Ну и далее по классику, кто виноват?
1. В первую очередь необходимо установить хронологию событий. Надо выяснить когда и как это произошло. Помогут в этом access_log и error_log. Если вы не знаете как их посмотреть, обратитесь к хостеру.
2. Смените все пароли!
3. Просканируйте файлы сайта скриптом AI-bolit или попросите об этом своего хостера. Анализ подозрительных файлов поможет выявить угрозы.
4. Проверьте антивирусом все компьютеры, с которых осуществлялся доступ к сайту. Надеюсь, объяснять, что проверяемый компьютер должен быть на это время отключен от интернета, не нужно?
5. Помните, я говорил вам про бекапы? Если выявить и устранить угрозу не получается, восстановите сайт из резервной копии и обратитесь за помощью к специалистам.
Автор ashap, 24 июля, 2015 в Оплата
Рекомендуемые сообщения
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
4 990.00 руб
Скачать/Купить дополнение
ККМ Онлайн Касса для opencart 54-ФЗ (Атол, Штрих-М, RR-Electro, Paykiosk, Viki Print и др.)
Позволяет подключить онлайн кассу к интернет магазину на базе opencart
Поддерживает кассы Атол, Штрих-М, Старрус, RR-Electro, Paykiosk, Viki Print, Pirit
Смотрите также другие модули по ссылке
1 400.00 руб
Скачать/Купить дополнение
Qiwi кошелек и Банковские карты PRO (физ.лица)
Принимайте оплату с киви кошельков и банковских карт напрямую на qiwi wallet. Прямой протокол оплаты для кошелька qiwi (не rest). Модерация магазина через ishop не требуется. Для того чтобы начать принимать платежи вам нужен только кошелек КИВИ.
Комиссия банковских карт 0-2% и 0% киви кошелек(информация не является офертой и зависит только от qiwi). Более того Вы можете самостоятельно установить комиссию или скидку.
Оплата поступает на счет КИВИ кошелек физического лица. После этого вы можете вывести на банковскую карту (или другим способом) или заказать карту qiwi с которой можно снимать наличные или расплачивается в магазинах.
Модулем возможна оплата заказа, пополнение баланса магазина (личного счета покупателя), платеж с указанием суммы покупателем
В модуле реализован уникальный функционал клонирования метода оплаты
В модуле реализован выбор основного механизма работы и уникального для каждого метода или клона:
- Стандартный (Оплата доступна сразу, переход на оплату сразу после оформления заказа или после если оплата прервана)
- Отложенная оплата (переход на оплату только после одобрения администратора)
- Контроль наличия товара (если в корзине есть хоть один товар не вналичии, то работает отложенная оплата, если все в наличии то стандартная)
Уникальный функционал:
Уникальная функция клонирования метода оплаты - вам доступно неограниченное число копий модуля. Индивидуальные настройки для каждого метода оплаты и клонов 3 основных режима работы. Индивидуальный режим для каждого модуля (Стандартный, отложенная оплата, контроль наличия) Уникальная система выбора суммы к оплате. Для каждого метода Вы можете настроеть свой вариант.
Например: При доставке почтой брать стоимость доставки,
При самовывозе частичную предоплату,
При доставке курьером - итого без доставки,
Для заказов менее 1000 брать полную оплату и т.д
Уникальная система УМНОЙ КОМИССИИ. Выставляет наценку в сумме которая потребуется для покрытия космисси платежной системы - в итоге вы получаете на счет точную сумму к оплате без удержания с вас комисии платежной системой Отображение своего текста на платежной странице. Назначение платежа и тд. Зависимость от группы покупателя для каждого модуля Зависимость от доставки для каждого метода Индивидуальные настройкидля каждого мульти-магазина Индивидуальное отображение для администратора (Создайте метод который будет доступен только в редактировании заказа администратору) Уникальная система пополнения личного счета покупателя БАЛАНС МАГАЗИНА (Дальнейшая оплата заказов с баланса или ручное списание администратором суммы с баланса)
Демо
админ панель
Логин demo
Пароль demo
Внимание! Адаптация под 1.5, 2.2 Бесплатно, не более 5-10 рабочих дней после совершения Вами покупки. Запросите архив для Вашей версии магазина через форму поддержки указав данные о покупке.
Смотрите также другие модули по ссылке
300.00 руб
Скачать/Купить дополнение
Клоны фиксированная стоимость доставки +
Модуль является клоном стандартного модуля доставки "Фиксированная стоимость доставки" или "Flate rate" (flat)
Позволяет сделать неограниченное количество копий данного модуля. Созданные копии можно удалять из настроек.
Дополнительные возможности:
* Возможно указать любой свой заголовок для доставки (поддерживаются html теги и картинки)
* Указать любое название для доставки (поддерживаются html теги и картинки)
* Скрывать заголовок для объединения клонов в один визуальный блок
* Не заменяет системных файлов
* Не требует vqmod
* Поддерживает модуль simple
Смотрите также другие модули по ссылке
Ни одного зарегистрированного пользователя не просматривает данную страницу
Читайте также:
