denum Apr 13 2012 at 09:55

Очистка заражённых файлов сайта от вредоносного кода. Продолжение

9 min

7.9K

Information Security*PHP*JavaScript*

+11

Comments 20

salikhoff Apr 13 2012 at 10:02

Благодарю! Обязательно воспользуюсь.

lithium_li Apr 13 2012 at 10:05

Если бы класс умел работать с базами какого-нибудь антивируса, то он был бы во много раз эффективнее, так как в базы антивирусов подобные javascript вирусы попадают гораздо быстрее и там уже большое количество сигнатур.

lithium_li Apr 13 2012 at 10:27

а что если вирус внедрится в середину строки?

denum Apr 13 2012 at 10:50

Нужно будет прорабатывать более детально этот момент. Использовать регулярные выражения, прорабатывая маску общей сигнатуры. Как один из вариантов.

SageScs Apr 13 2012 at 10:44

не понимаю зачем такую простыню писать, когда на баше можно парой комманд обойтись: habrahabr.ru/post/139510/?

denum Apr 13 2012 at 10:51

Просто понимаете, не везде есть возможность использовать консоль.

Yan_Alex Apr 13 2012 at 19:30

вы все руками делаете? например данный скрипт можно повесить в крон и забыть, вот сигнатуры конечно лучше, действительно брать из публичных.

SageScs Apr 13 2012 at 19:47

Ну да, руками. Если уж заразился, надо не только вылечиться, но и выяснить, почему заразился и устранить причину, а не латать дырку в фоновом режиме.

Yan_Alex Apr 13 2012 at 22:40

лечить, согласен, необходимо, но иногда это вина плечах хостера, а тех поддержа долго откликается, это лечиться сменой хостера, но тем не менее =)

Guedda Apr 13 2012 at 10:49

Спасибо за код. Столкнулся вчера с данной проблемой. Скрипт этот действительно помог, теперь антивирусы не ругаются, зайдя на мой проект.
Только вот интересно узнать — как вирус внедряется туда?

denum Apr 13 2012 at 10:53

Чтобы внедрить код в любой файл, например, можно использовать данный сканер. В любое место файла, куда захочется. Было бы желание. Но для этого нужен доступ по фтп или возможность залить скрипт на сайт. Так что всё упирается в уязвимости.

Guedda Apr 13 2012 at 10:55

Вот в том то и вопрос — каким образом. Чтобы была возможность закрыть эту дырку. Потому что, вполне возможно, что через эту дыру скрипт опять попадет на мой проект. На всякий случай пароли к ФТП сменил, но я работаю с проектом через линукс, не должно же вроде утекать ничего с подобных машин. Хотя, возможно, я и ошибаюсь.

Nc_Soft Apr 13 2012 at 18:04

fckeditor или другие публичные скрипты стоят? Обычно в них находят дыры и сразу под угрозой оказываются сотни сайтов.

mnemonic Apr 14 2012 at 15:35

Попробуйте скрипт айболит revisium.com/ai/, он ищет шеллы, дорвеи и вирусы. В том числе и в javascript.

UFO just landed and posted this here

denum Apr 16 2012 at 08:06

а что вы будете делать, если на виртуальном хостинге нет консоли и поддержки ssh?
всё равно нужно будет использовать php — exec, system или phpseclib.
а на баше (до работы с заразой на PHP) мы использовали вот этот скрипт:

for i in `find . -name "index.php";find . -name "index.html"`
do
echo $i
mv $i $i-old
cat $i-old | sed "s/bip-count\.info//g" > $i
done;

UFO just landed and posted this here

denum Apr 16 2012 at 15:22

На баше скрипт писался не под iframе'ы. Расширить изменением регулярки с условиями поиска — можно всегда. Тогда чистить будет всё что угодно, вы же сами понимаете.

Удаление всей строки не то что, не совсем удачно в случае, если вредоносный код в середине или начале строки. Такой подход в корне неудачен, если подходить к решению проблемы с таким кодом подобным образом.
Я же указал, что код добавлялся строго в конец файла и в одну строку. Именно поэтому был выбран подобный вариант удаления — строчный. Для других вариаций заражения необходимо менять поиск вхождений, используя например preg_match() или preg_replace().

А вот по поводу «фокуса» с флагами sed'a, спасибо, возьму на заметку.

UFO just landed and posted this here