Наша взаимовыгодная связь https://banwar.org/
Пару місяців назад, а може і більше я зіткнувся на одному зі своїх хостингів з подібним вірусом, відразу звичайно не зрозумів в чому справа і не надав цьому значення. Почистив сайти ніби все добре і забув, через деякий час Яндекс надсилає лист на вашому сайті вірус типу base64_decode. Поліз дивитися точно, сайти тут же випали з індексу.
Почав я боротьбу з лікуванням сайтів від вірусу. У мене вийшло що в одному акаунті хостингу лежало близько десяти сайтів, які були на різних CMS і всі вони були заражені. Знайти через який була знайдена уразливість дуже складно відразу так.
Насамперед було звичайно ж видалення вірусу з усіх файлів з розширенням * .php
Почитав форуми і ось що знайшов:
1. від icom суть роботи скрипта просто, закидаєте на фтп файл з архіву запускаєте його так:
http: //імясайта/replace.php? pas = joomla
І не важливо стоїть біля вас там Joomla, WP, Drupal тощо перевірено працює на будь-який CMS.
Ось як і що треба робити:
У вікно (Текст пошуку) додаєте ваш вірусний код eval (base64_decode і т.д. Ставите галочку в заміні і все натискаємо кнопку шукати.
Скрипт дуже добре, але іноді він не хотів працювати видавав помилку, яку я точно не пам'ятаю вже але була справа з ним таке.
2. Якщо не виходило видалити вірусний код eval (base64_decode, тоді доводилося лікувати іншим способом, можна сказати найпримітивнішим. Завантажуємо архів сайту, на компі розпаковував і програмою знаходив у всіх файлах з розширенням * .php вказаний мій код base64_decode. Потім після чистки упаковка і заливка назад на ftp архіву сайту.
3. Після видалення я зазвичай перевіряв сайти на шкідливий код ще одним скриптом це. Користуватися ним теж легко і просто, заливаємо на фтп запускаємо в браузері файл, він деякий час сканує і показує де є вірусний код.
4. Також додатково останнім часом дивився ще і скриптом - це унікальний безкоштовний скрипт для пошуку вірусів, троянів, backdoor, хакерських активностей на хостингу. Сам скрипт постійно оновлюється і розвивається. Суть роботи як і у інших заливаємо і запускаємо, дивимося, аналізуємо і видаляємо віруси.
Один з варіантів видалення шкідливого коду, якщо у вас є SSH доступ до вашого хостингу.
Ось така невелика інструкція як видалити вірус або шкідливий код eval (base64_decode з усіх файлів з розширенням * .php.
Ще хотілося відзначити що видаляв я довго і точно обчислити сайт через який було зараження 100% поки не зміг. Одне можу сказати що найімовірніше залитий був через сайт під управлінням CMS Joomla.
Думаю надалі буде ще один пост на цю тему, так що слідкуйте за оновленнями хоч і не частими. :)
Php?