Август 4

Как удалить вирус типа base64_decode

Пару месяцев назад, а может и больше я столкнулся на одном из своих хостингов с подобным вирусом, сразу конечно не понял в чем дело и не придал этому значения. Почистил сайты вроде всё хорошо и забыл, через некоторое время Яндекс присылает письмо на вашем сайте вирус типа base64_decode. Полез смотреть точно, сайты тут же выпали из индекса.

Начал я борьбу с лечением сайтов от вируса. У меня получилось что в одном аккаунте хостинга лежало около десяти сайтов, которые были на разных CMS и все они были заражены. Найти через какой была найдена уязвимость очень сложно сразу так.

Первым делом было конечно же удаление вируса со всех файлов с расширением *.php

Почитал форумы и вот что нашел:

1. Скрипт удаления вредоносного кода 382 от icom суть работы скрипта просто, закидываете на фтп файл из архива запускаете его так:

http://имясайта/replace.php?pas=joomla

И не важно стоит у вас там Joomla, WP, Drupal и т.д. проверено работает на любой CMS.

Вот как и что надо делать:

удаление вируса base64
 

В окно (Текст поиска) добавляете ваш вирусный код eval (base64_decode и т.д. Ставите птичку в замене и всё нажимаем кнопку искать.

Скрипт очень хорошо, но иногда он не хотел работать выдавал ошибку, какую я точно не помню уже но было дело с ним такое.

2. Если не получалось удалить вирусный код eval (base64_decode, тогда приходилось лечить другим способом, можно сказать самым примитивным. Скачивался архив сайта, на компе распаковывал и программой @Text Replacer 160 находил во всех файлах с расширением *.php указанный мой код base64_decode. Потом после чистки упаковка и заливка назад на ftp архива сайта.

3. После удаления я обычно проверял сайты на вредоносный код ещё одним скриптом это сканер поиска Shell and BackDoor 214. Пользоваться им тоже легко и просто, заливаем на фтп запускаем в браузере файл, он некоторое время сканирует и показывает где есть вирусный код.

4. Также дополнительно в последнее время смотрел ещё и скриптом AI-Bolit 181 — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге. Сам скрипт постоянно обновляется и развивается. Суть работы как и у других заливаем и запускаем, смотрим, анализируем и удаляем вирусы.

Один из вариантов удаления вредоносного кода, если у вас есть SSH доступ к вашему хостингу.

Вот такая небольшая инструкция как удалить вирус или вредоносный код eval (base64_decode со всех файлов с расширением *.php.

Ещё хотелось отметить что удалял я долго и точно вычислить сайт через который было заражение 100% пока не смог. Одно могу сказать что вероятнее всего залит был через сайт под управлением CMS Joomla.

Думаю в дальнейшем будет ещё один пост на эту тему, так что следите за обновлениями хоть и не частыми. 🙂

Обсудить

Раздел: Без рубрики | Комментарии к записи Как удалить вирус типа base64_decode отключены