Вирус base64 что это
Что такое base64.exe?
base64.exe это исполняемый файл, который является частью Intel XDK Программа, разработанная Intel Corporation, Программное обеспечение обычно о 719.15 KB по размеру.
Расширение .exe имени файла отображает исполняемый файл. В некоторых случаях исполняемые файлы могут повредить ваш компьютер. Пожалуйста, прочитайте следующее, чтобы решить для себя, является ли base64.exe Файл на вашем компьютере - это вирус или троянский конь, который вы должны удалить, или это действительный файл операционной системы Windows или надежное приложение.
Base64.exe безопасно, или это вирус или вредоносная программа?
Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, такой процесс, как base64.exe, должен запускаться из C: \ users \ user \ documents \ UNM \ Spring 2015 \ MGMT 330 \ xdk \ xdk_web_win_master_1621.exe и нигде в другом месте.
Наиболее важные факты о base64.exe:
- Находится в C: \ Users \ пользователь \ AppData \ Local \ Intel \ XDK вложенная;
- Издатель: Intel Corporation
- Полный путь: C: \ users \ user \ documents \ UNM \ Spring 2015 \ MGMT 330 \ xdk \ xdk_web_win_master_1621.exe
- Файл справки:
- URL издателя: xdk-software.intel.com
- Известно, что до 719.15 KB по размеру на большинстве окон;
Если у вас возникли какие-либо трудности с этим исполняемым файлом, вы должны определить, заслуживает ли он доверия, перед удалением base64.exe. Для этого найдите этот процесс в диспетчере задач.
Найдите его местоположение (оно должно быть в C: \ users \ user \ appdata \ Local \ Intel \ XDK) и сравните размер и т. Д. С приведенными выше фактами.
Если вы подозреваете, что можете быть заражены вирусом, вы должны немедленно попытаться это исправить. Чтобы удалить вирус base64.exe, необходимо Загрузите и установите приложение полной безопасности, например Malwarebytes., Обратите внимание, что не все инструменты могут обнаружить все типы вредоносных программ, поэтому вам может потребоваться попробовать несколько вариантов, прежде чем вы добьетесь успеха.
Кроме того, функциональность вируса может сама влиять на удаление base64.exe. В этом случае вы должны включить Безопасный режим с поддержкой сети - безопасная среда, которая отключает большинство процессов и загружает только самые необходимые службы и драйверы. Когда вы можете запустить программу безопасности и полный анализ системы.
Могу ли я удалить или удалить base64.exe?
Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.
Согласно различным источникам онлайн, 11% людей удаляют этот файл, поэтому он может быть безвредным, но рекомендуется проверить надежность этого исполняемого файла самостоятельно, чтобы определить, является ли он безопасным или вирусом. Лучшая диагностика для этих подозрительных файлов - полный системный анализ с Reimage, Если файл классифицирован как вредоносный, эти приложения также удалят base64.exe и избавляются от связанных вредоносных программ.
- 1. в Меню Пуск (для Windows 8 щелкните правой кнопкой мыши в нижнем левом углу экрана), нажмите панель, а затем под программы:
o Windows Vista / 7 / 8.1 / 10: нажмите Удаление программы.
o Windows XP: нажмите Добавить или удалить программы.
- 2. Когда вы найдете программу Intel XDKщелкните по нему, а затем:
o Windows Vista / 7 / 8.1 / 10: нажмите Удалить.
o Windows XP: нажмите Удалить or Изменить / Удалить вкладка (справа от программы).
- 3. Следуйте инструкциям по удалению Intel XDK.
Распространенные сообщения об ошибках в base64.exe
Наиболее распространенные ошибки base64.exe, которые могут возникнуть:
Эти сообщения об ошибках .exe могут появляться во время установки программы, во время выполнения связанной с ней программы Intel XDK, при запуске или завершении работы Windows, или даже при установке операционной системы Windows. Отслеживание момента появления ошибки base64.exe является важной информацией, когда дело доходит до устранения неполадок.
Как исправить base64.exe
Аккуратный и опрятный компьютер - это один из лучших способов избежать проблем с Intel XDK. Это означает выполнение сканирования на наличие вредоносных программ, очистку жесткого диска cleanmgr и ПФС / SCANNOWудаление ненужных программ, мониторинг любых автозапускаемых программ (с помощью msconfig) и включение автоматических обновлений Windows. Не забывайте всегда делать регулярные резервные копии или хотя бы определять точки восстановления.
Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.
Чтобы помочь вам проанализировать процесс base64.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.
Обновлено апреля 2020 года:
Мы рекомендуем вам попробовать этот новый инструмент. Он исправляет множество компьютерных ошибок, а также защищает от таких вещей, как потеря файлов, вредоносное ПО, сбои оборудования и оптимизирует ваш компьютер для максимальной производительности. Это исправило наш компьютер быстрее, чем делать это вручную:
(опциональное предложение для Reimage - Cайт | Лицензионное соглашение | Политика Kонфиденциальности | Удалить)
Загрузите или переустановите base64.exe
это не рекомендуется загружать файлы замены exe с любых сайтов загрузки, так как они могут сами содержать вирусы и т. д. Если вам нужно скачать или переустановить base64.exe, то мы рекомендуем переустановить основное приложение, связанное с ним Intel XDK.
Информация об операционной системе
Ошибки base64.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:
- Окна 10
- Окна 8.1
- Окна 7
- Windows Vista
- Windows XP
- Windows ME
- Окна 2000
Господа, много тем поднимается с просьбой помощи по борьбе с base64. Чтобы облегчить вам поиск, а так же помочь в решении данной проблемы - кидаю сюда универсальный скрипт, который изначально писался для борьбы с base64, однако подходит не только для этого, но и для:
1. Поиска, удаления и замены любого текста во всех файлах на сервере.
2. Удаления вредоносного кода из всех файлов на сервере.
Суть работы скрипта: парсит все файлы на сервере на наличие определённого кода, и при условии совпадения - заменяет его пустой строкой. Тестировалось более чем на 15ти сайтах - работа идеальна.
Код скрипта сохраняем в файлик delvir.php и льём в корень сайта. Затем в браузере набираем [site.ru]/delvir.php
После выполнения будет подробненький отчёт, а в самом низу - результаты.
Вот и сам код с подробными комментами:
код скрипта
//gendalf_grey for webmasters.ru
$virus_text = 'в эти кавычки пишем вредоносный код' ;
$skip_files = array ( 'delvir.php' );
$del = true ;
$dir = getcwd (). '/' ;
$num_infected = 0 ;
function dir_walk ( $callback , $dir , $types = null , $recursive = false , $baseDir = '' ) <
if ( $dh = opendir ( $dir )) <
while (( $file = readdir ( $dh ))!== false ) <
if ( $file === '.' || $file === '..' ) <
continue;
>
if ( is_file ( $dir . $file )) <
if ( is_array ( $types )) <
if (! in_array ( strtolower ( pathinfo ( $dir . $file , PATHINFO_EXTENSION )), $types , true )) <
continue;
>
>
$callback ( $baseDir , $file );
>elseif( $recursive && is_dir ( $dir . $file )) <
dir_walk ( $callback , $dir . $file . DIRECTORY_SEPARATOR , $types , $recursive , $baseDir . $file . DIRECTORY_SEPARATOR );
>
>
closedir ( $dh );
>
>
function del_virus ( $fdir , $ffile )
<
$flag = false ;
$filename = $fdir . $ffile ;
echo $filename ;
if (! in_array ( $ffile , $GLOBALS [ 'skip_files' ])) <
$handle = fopen ( $filename , "r" );
$fsize = filesize ( $filename );
if (! $fsize ) <
$contents = '' ;
>else <
$contents = fread ( $handle , $fsize );
>
fclose ( $handle );
if ( strpos ( $contents , $GLOBALS [ 'virus_text' ]) !== false ) <
if ( $GLOBALS [ 'del' ] ) <
$contents = str_replace ( $GLOBALS [ 'virus_text' ], '' , $contents );
$handle = fopen ( $filename , "wb" );
fwrite ( $handle , $contents );
fclose ( $handle );
echo " - deleted" ;
>
echo " - infected" ;
$GLOBALS [ 'num_infected' ]++;
>
>else<
echo " - skipped" ;
>
echo "
" ;
>;
dir_walk ( 'del_virus' , $dir , array( 'php' , 'php5' , 'html' , 'htm' , 'shtml' ), true , $dir );
echo "Num infected = $num_infected
" ;
?>
Спасибо сказали:
Последний раз редактировалось Swede; 06.03.2013 в 01:43 .
Спасибо сказали:
Очень вовремя, огромное спасибо за скрипт!
Спасибо сказали:
Не знаю, в тему будет или нет, просто уже не первый раз сталкиваюсь с паблик-шаблонами, в футере которых есть по 7 исходящих ссылок (с сайта _wordpresse.ru). И уже не первый раз пользуюсь этим лекарством. Можно было бы добавить в шапку темы эту ссылку, пусть и лечит она немного от другого. Наверно можно немного изменить название темы и ТС либо модераторы будут помещать в первое сообщение такие "лекарства", которые со временем уходят на дальние страницы форума.
Народ, кто будет использовать - отписывайтесь здесь, как что прошло. С какой скоростью была очистка, сколько очищено, всё ли корректно ( если вам не трудно ).
Стоило бы дополнить стартпост, вариантами вредоносного кода
А то хз чего в эту стороку
$virus_text = 'в эти кавычки пишем вредоносный код';
писать. И так чтоб ненароком, родные файлы не покалечить
Спасибо сказали:
Да, пожалуй genjnat прав.
Значит так: для тех, кто сомневается.
В кавычки пишем ТОЛЬКО тот текст, который нужно удалить. Например:
Вам нужно удалить текст 123456789, а файл состит из:
987654321
абабалвлаба
3849982837
123456789
жжжлллоооо
Следовательно, в кавычки вам нужно записать 123456789.
Гендальф Серый, мне (тьфу, тьфу, тьфу) пока ничего не нужно. Но просто, не дай бог случится - откуда мне знать код вируса, и что собственно искать этим скриптом?
Я это имел в виду
Мне приходилось чинить свои сайты и к сожалению не один раз. Обычно когда замечаешь что сайт взломали не составляет труда и за 5-10 минут определить где и что искать. А затем уже этот скрип пригодится.
genjnat, вот тут вы правы:
Есть и простые черви, которые особо себя не маскируют, и увидеть их в коде страницы легко. Но есть и весьма интересные, которые маскируются под обычный html или php, прописываются в БД, htaccess. Такие найти - уже проблема.
В данной теме - сам скрипт предназначен для тех, кто уже нашёл вредоносный код и точно знает, что удалять. Из нескольких файлов можно удалить и руками, скрипт же предназначен для пакетного удаления ( больше 10 заражённых файлов ). Из собственного опыта могу сказать, что если что-то подцепить, то это что-то обычно прописывается куда только можно. У последнего пациента в сумме было очищено более 1 000 000 файлов.
Мой сайт (очень большой сайт сообщества) недавно был заражен вирусом. Каждый файл index.php был изменен таким образом, чтобы открывающий тег php этих файлов был изменен на следующую строку:
Когда я расшифровал это, он произвел следующий код PHP:
Я пробовал несколько вещей, чтобы очистить вирус, даже восстанавливая его из резервной копии, и файлы повторно заражаются через несколько минут или часов. Так что вы можете мне помочь?
Что вы знаете об этом вирусе?
Есть ли известная дыра в безопасности, которую он использует для установки и распространения?
Что на самом деле делает приведенный выше php-код?
Что делает страница, встроенная в iframe?
И, конечно, более важно: Что я могу сделать, чтобы избавиться от него?
Пожалуйста, помогите, у нас почти не осталось идей и надежды: (
Update1 Еще несколько деталей: странная вещь: когда мы впервые проверили зараженные файлы. Они были изменены, но их измененное время в программе ftp показывало, что последний доступ был днями, месяцами или даже годами назад в некоторых случаях! Как это вообще возможно? Это сводит меня с ума!
ОБНОВЛЕНИЕ 2 Я думаю, что проблема возникла после того, как пользователь установил плагин в своей установке Wordpress. После восстановления из резервной копии и полного удаления папки Wordpress и связанной с ней БД проблема, похоже, исчезла. В настоящее время мы подписались на службу безопасности, и они изучают проблему, просто чтобы убедиться, что взлом прошел навсегда. Спасибо всем, кто ответил.
7 ответов
Действия по восстановлению и лечению вашего сайта (при условии, что у вас есть надежная резервная копия).
1) Завершение работы сайта
Прежде чем приступить к исправлению ситуации, вам необходимо закрыть дверь на свой сайт. Это не позволит посетителям получать вредоносный код, видеть сообщения об ошибках и т. Д. Просто хорошая практика.
2) Загрузите копию всех ваших файлов с сервера
Загрузите все в отдельную папку из ваших хороших резервных копий. Это может занять некоторое время (зависит от размера вашего сайта, скорости соединения и т. Д.).
3) Загрузите и установите утилиту сравнения файлов /папок
4) Запустите утилиту сравнения файлов и папок
Вы должны получить несколько разных результатов:
- Файлы идентичны. Текущий файл совпадает с вашей резервной копией и поэтому не подвержен влиянию.
- Файл только слева /справа. Этот файл либо существует только в резервной копии (и, возможно, был удален с сервера), либо существует только на сервере (и может быть введен /создан хакером).
- Файл отличается - файл на сервере не совпадает с файлом в резервной копии, поэтому он мог быть изменен вами (чтобы настроить его для сервера) или хакером (чтобы внедрить код).
5) Устраните различия
(a.k.a "Почему мы не можем просто ладить?")
6) Ознакомьтесь с мерами предосторожности
Является ли это простым изменением паролей FTP /cPanel или проверкой использования внешних /неконтролируемых ресурсов (поскольку вы упоминаете, что выполняете множество fgets, fopens и т. д., вы можете проверить параметры, передаваемые в как способ заставить скрипты извлекать вредоносный код) и т. д.
7) Проверка работоспособности сайта
Воспользуйтесь возможностью быть единственным, кто просматривает сайт, чтобы убедиться, что все работает должным образом после того, как зараженные файлы были исправлены и вредоносные файлы были удалены.
8) Откройте двери
Отмените изменения, внесенные в файл .htaccess на шаге 1. Внимательно следите. Следите за своим посетителем и журналами ошибок, чтобы увидеть, пытается ли кто-нибудь вызвать удаленные вредоносные файлы и т. Д.
9) Рассмотрим методы автоматического обнаружения
Существует несколько решений, позволяющих вам выполнить автоматическую проверку на вашем хосте (с помощью задания CRON), которая будет обнаруживать и детализировать любые происходящие изменения. Некоторые из них немного многословны (вы получите электронное письмо для каждого измененного файла), но вы должны иметь возможность адаптировать их к вашим потребностям:
10) Создавайте резервные копии по расписанию и сохраняйте хорошие скобки
Убедитесь, что на вашем веб-сайте запланировано резервное копирование, сохраните несколько из них, чтобы у вас было несколько шагов, чтобы при необходимости можно было вернуться назад во времени. Например, если вы выполняли еженедельное резервное копирование, возможно, вы захотите сохранить следующее:
- 4 х еженедельных резервных копии
- 4 х Ежемесячные резервные копии (вы сохраняете одну из еженедельных резервных копий, возможно, первую неделю месяца, в качестве ежемесячной резервной копии)
Это всегда облегчит жизнь, если кто-то атакует ваш сайт чем-то более разрушительным, чем атака с использованием кода.
О, и убедитесь, что вы также создаете резервные копии своих баз данных - на многих сайтах, основанных на CMS, наличие файлов - это хорошо, но если вы потеряете /повредите базу данных, стоящую за ними, резервные копии в основном бесполезны. >
Во-первых, закрывайте свой сайт, пока не сможете выяснить, как он вошел и как это исправить. Похоже, он подает вредоносное ПО вашим клиентам.
Я нашел скрипт на python, который я немного изменил, чтобы удалить трояна в файлах php, поэтому я опубликую его здесь для использования другими: источник кода из потока: заменить ВСЕ экземпляры символа с другим во всех файлах иерархически в дереве каталогов
python rescue.py корневая папка
Это то, что пытался сделать вредоносный скрипт:
Чтобы избавиться от этих вредоносных PHP, вам просто нужно их удалить. Если файл заражен, вам нужно удалить только ту часть, которая выглядит подозрительно.
Найти эти файлы всегда сложно, потому что обычно в вашем веб-корне их несколько.
Обычно, если вы видите какие-то запутывания, это красная тревога для вас.
Большинство вредоносных программ легко найти на основе общих функций, которые они используют, в том числе:
Используя формат кодирования, они сокращают свой размер и затрудняют декодирование неопытными пользователями.
Вот несколько команд grep , которые могут найти наиболее распространенный вредоносный код PHP:
Вы можете запускать эти команды на сервере или после синхронизации веб-сайта с локальным компьютером (через FTP, например, ncftpget -R ).
Или используйте средства сканирования, специально предназначенные для поиска вредоносных файлов такого типа, см. сканеры безопасности PHP .
В образовательных целях вы можете найти следующую коллекцию сценариев эксплойтов PHP, которые можно найти при исследовании взломанных серверов, по адресу kenorb /php-exploit-scripts GitHub (под влиянием @Mattias оригинальная коллекция ). Это даст вам понимание того, как выглядят эти подозрительные файлы PHP, и вы сможете узнать, как найти их больше на вашем сервере.
Убедитесь, что обновлены все популярные веб-приложения, такие как Wordpress или vBulletin. Существует много эксплойтов со старыми версиями, которые могут привести к взлому вашего сервера, и, вероятно, это произойдет снова, если они не будут обновлены. Бесполезно продолжать, пока это не будет сделано.
Если файлы продолжают заменяться, то в фоновом режиме выполняется руткит или троян. Этот файл не может копировать себя. Сначала вам придется избавиться от руткита. Попробуйте rkhunter , chkrootkit и LMD . Сравните вывод ps aux с защищенным сервером и проверьте /var/tmp и /tmp для подозрительных файлов. Возможно, вам придется переустановить ОС.
Чтобы это не повторилось, ежедневно запускайте csf или аналогичный брандмауэр LMD сканирует и остается в курсе последних обновлений безопасности для всех приложений на сервере.
Мои сайты /или сайты, на которых я размещаюсь, несколько раз подвергались подобным атакам.
Я представляю, что я сделал, чтобы решить проблему. Я не претендую на то, что это лучший /самый простой подход, но он работает, и с тех пор я могу активно удерживать мяч на своем поле.
запись cron будет выглядеть примерно так: 0 2 * * 5 /root /scripts /base64eval_scan> /dev /null 2 > & 1 &
Я обновил страницы, чтобы кто-то мог загружать файлы напрямую. Надеюсь, он будет полезен для вас, как и для меня:)
Предполагая, что это сервер на базе Linux и у вас есть доступ по SSH, вы можете запустить его, чтобы удалить код, вызывающий сбой:
Это охватывает все известные реализации base64 и будет работать независимо от того, будет ли текст base64 заключен в одинарные или двойные кавычки
РЕДАКТИРОВАТЬ: теперь работает и с внутренними пробелами
My site (very large community website) was recently infected with a virus. Every index.php file was changed so that the opening php tag of these files it was changed to the following line:
When I decoded this, it produced the following PHP code:
I've tried several things to clean the virus even restoring from a backup and the files get re-infected after a few minutes or hours. So can you please help me?
What do you know about this virus?
Is there a known security hole it uses to install and propagate?
What does the above php code actually does?
What does the page it embeds in the iframe does?
And of course more importantly: What can i do to get rid of it?
Please help, we have been almost run out of ideas and hope :(
UPDATE1 Some more details: A weird thing is: When we first checked the infected files. They were changed but their modified time in the ftp program was showing last access to be days, months or even years ago in some cases! How is this even possible? It drives me crazy!
UPDATE 2 I think the problem initiated after a user installed a plugin in his Wordpress installation. After restoring from backup and completely deleting the Wordpress folder and the associated db the problem seems gone. We have currently subscribed to a security service and they are investigating the issue just to be sure the hack is gone for good. Thanks for anyone who replied.
7 Answers 7
Steps to recover and disinfect your site (provided you have a known good backup).
1) Shutdown the Site
You need to basically close the door to your site before you do your remedial work. This will prevent visitors getting malicious code, seeing error messages, etc. Just good practice.
2) Download a Copy of All of your Files from the Server
Download everything into a separate folder from your good backups. This may take a while (dependent on your site size, connection speed, etc).
3) Download and Install a File/Folder Comparison Utility
4) Run the File/Folder Comparison Utility
You should end up with a few different results:
- Files are Identical - The current file is the same as your backup, and so is unaffected.
- File on Left/Right Side Only - That file either only exists in the backup (and may have been deleted from the server), or only exists on the server (and may have been injected/created by the hacker).
- File is Different - The file on the server is not the same as the one in the backup, so it may have been modified by you (to configure it for the server) or by the hacker (to inject code).
5) Resolve the Differences
(a.k.a "Why can't we all just get along?")
For Files which are Identical, no further action is required. For Files which Exist on One Side Only, look at the file and figure out whether they are legitimate (ie user uploads which should be there, additional files you may have added, etc.) For Files which are Different, look at the file (the File Difference Utility may even show you which lines have been added/modified/removed) and see whether the server version is valid. Overwrite (with the backed-up version) any files which contain malicious code.
6) Review your Security Precautions
Whether this is as simple as changing your FTP/cPanel Passwords, or reviewing your use of external/uncontrolled resources (as you mention you are performing alot of fgets, fopens, etc. you may want to check the parameters being passed to them as that is a way to make scripts pull in malicious code), etc.
7) Check the Site Works
Take the opportunity of being the only person looking at the site to make sure that everything is still operating as expected, after the infected files are corrected and malicious files have been removed.
8) Open the Doors
Reverse the changes made in the .htaccess file in Step 1. Watch carefully. Keep an eye on your visitor and error logs to see if anyone tries to trigger the removed malicious files, etc.
9) Consider Automated Detection Methods
There are a few solutions, allowing for you to have an automated check performed on your host (using a CRON job) which will detect and detail any changes which occur. Some are a bit verbose (you will get an email for each and every file changed), but you should be able to adapt them to your needs:
10) Have Scheduled Backups, and Retain a Good Bracket
Make sure you have scheduled backups performed on your website, keep a few of them, so you have different steps you can go back in time, if necessary. For instance, if you performed weekly backups, you might want to keep the following:
- 4 x Weekly Backups
- 4 x Monthly Backups (you retain one of the Weekly Backups, maybe the first week of the month, as the Monthly Backup)
These will always make life easier if you have someone attack your site with something a bit more destructive than a code injection attack.
Oh, and ensure you backup your databases too - with alot of sites being based on CMSes, having the files is nice, but if you lose/corrupt the database behind them, well, the backups are basically useless.
После поста о взломе моих сайтов и успешном их лечении мне написали пару вопросов о том, каким образом чистятся файлы, не удалились ли после лечения все файлы с сервера и не становится ли вообще хуже после использования сервиса Virusdie.
Удивительно, сегодня можно нагуглить сотни тысяч советов о том, как очистить от паразитов свой дырявый Windows, но не так много информации о том, как чистить именно блоги, лендинги и т.д. Решил поподробнее рассказать, какие типичные вирусы обычно хватают сайты, как их лечить и что для этого нужно.
Как вообще понять, что сайт заражен?
Зачем ломать мой сайт, у меня же нет миллионной посещаемости?
По статистике, одни из самых популярных систем управления — WordPress и Joomla, их версии обновляются почти каждый месяц, вносится исправления в код, улучшается безопасность. Старые же версии так и остаются с дырами, а багрепорты становятся известны любому интересующемуся. Поэтому ничто не мешает какому-нибудь молодому умному Мистеру Роботу прочекать сайты на сервере, найти не обновленные и использовать уязвимость в своих целях.
Как ты избавился от 280 вирусов? Ты использовал Virusdie для лечения сайтов?
В принципе, я пока знаю только два эффективных способа избавиться от вредоносного кода: пытаться копаться в нем самостоятельно, перелопачивать файлы, мониторить время изменения и размеры, либо пользоваться внешними сервисами для анализа. Один из таких редких сервисов — Virusdie.
Их решение сейчас встроено в некоторые виртуальные хостинги (в предыдущем посте упоминали рег.ру), в случае, если у вас собственный сервер, то удобно использовать модуль для ISPmanager.
После установки модуля переходим в раздел Virusdie в левой колонке. Иногда может потребоваться перезагрузка панели ISP или всего сервера, чтобы менюшка появилась.
Кликаем на самый свежий отчет (автоматически на вирусы сервер будет проверяться каждую ночь) и смотрим, какие файлы подверглись заражению и имя вируса.
Если кликнуть на угрозу, можно посмотреть на кусок зараженного кода. В случае с первой строчкой (.htaccess файл с угрозой Doubt.h.BotCheck) получаем такое сообщение:
Это вирус, записанный в htaccess, он берет посетителя с определенного источника или устройства (чаще всего мобильных пользователей) и редиректит на свою страницу. Для лечения его надо найти примерно такого вида код
И удалить его. К сожалению, Virusdie не всегда автоматически удаляет код из файлов, часто нужно самому залезть в них и вычистить вредоносные строки. Но самое главное уже сделано — дан полный адрес, куда копать и строки, на которые обратить внимание.
Описание угроз, которые я встретил
(прим. — в расшифровке угроз могу ошибаться, не профессионал, если что, ткните меня)
* Doubt.h.BotCheck — описанный выше вирус. Если вы сами не делали клоаку на своем сайте, то значит кто-то редиректит ваш трафик к себе.
* Obfuscated.Globals.5.3 — обфусцированный (закодированный) код. Чаще всего названия файлов странные, проверьте старые бэкапы, скорее всего, этих файлов раньше вообще здесь не было, их нужно удалить полностью.
* Doubt.PHP.Spaces — а вот это интересная штука — подозрительное количество пробелов. Я уже удалил код, поэтому придется объяснять на сделанном на коленке примере. Например, у нас есть файл index.php, в котором лежит вот такой простой код
И вроде бы все выглядит нормально, и даже я не понимал, почему ругается Virusdie, но стоит крутануть файл вправо, и за пробелами мы видим спрятанный код.
Я не знаю, как это называется у хакеров и специалистов по безопасности, но это гениально.
И самое важное: просто удалить вирус недостаточно, нужно понять, где лежит дырка, через которую все это просочилось. Теперь придется включить смекалочку, посмотреть свои скрипты, перепроверить права на файлы и воспользоваться советами ниже.
Как не попасть под удар и не словить вирусов?
Несколько советов, так сказать, для профилактики:
- Обновляйте версию WordPress до последней и устанавливайте расширения для защиты движка. Если интересно, о лучших плагинах расскажу в отдельной заметке, а то получится слишком объемно.
- По возможности, не держите десятки и сотни скриптов на одном сервере. Больше кода — больше риска его взлома. Забросили сайт, не следите за ним, не обновляете — лучше скопируйте его на локальный компьютер и избавьтесь от его файлов на сервере, это поможет лежащим в соседних папках актуальным сайтам не схватить заразу.
- На всякий случай, удалите Sypex Dumper. Говорят, что этот прекрасный скрипт, который не раз помогал мне перенести огромные базы данных без единой ошибки, является причиной взломов MySQL-баз. Не знаю, правда это или нет, но у себя на сервере я нашел 3 копии скрипта разных версий. Теперь стараюсь использовать его только при необходимости и сразу удалять.
- Вообще, немножко паранойи никогда не повредит. Если сомневаетесь, проконсультируйтесь со своих сисадмином, хостером или хотя бы гуглом.
Читайте также: