Вирус Eval Base64 Wordpress

Это взлом или, по крайней мере, попытка. Они пользуются неустраненной уязвимостью WordPress, которая, среди прочего, позволяет им загружать и выполнять код. Этот тип атаки в настоящее время очень мало известен общественности в Интернете и может быть особенно неприятным, если он исходит от образованного источника. Если вы заметили фрагменты кода такого типа на стороне вашего сервера, пожалуйста, проведите дополнительные исследования, чтобы определить, действительно ли вы заражены, и если да, то до какого уровня заражение фактически дошло. Я видел, как целые серверы виртуального хостинга были заражены от отдельных администраторов сайтов WordPress, которые либо допускали это по незнанию, либо активно способствовали распространению этой проблемы. К сожалению, эта конкретная проблема в настоящее время не очень хорошо документирована в Интернете, поэтому вам, вероятно, придется провести небольшое исследование, чтобы убедиться, что с вашим сайтом все в порядке. Чтобы помочь вам в исследовании, я поясню терминологию этого хака.

Это атака Внедрение кода PHP, которая, скорее всего, пытается использовать известную уязвимость в среде WordPress. Он использует закодированный в Base64 код PHP для внедрения на ваш хостинг-сервер через eval(), который представляет собой конструкцию языка программирования, присутствующую почти во всех языках программирования, включая PHP. Хакеры с чрезвычайно организованными и продвинутыми способностями недавно использовали этот эксплойт, чтобы нанести полный ущерб скомпрометированным сайтам WordPress, поэтому будьте предельно осторожны при решении проблем такого типа.

Ни одно из предложений не сработало для нас. Ниже показано, как мы удалили вредоносный код с нескольких сайтов WordPress без простоев.

Мы столкнулись с проблемой, когда у нас было несколько устаревших сайтов WordPress, совместно использующих одну файловую систему, которая была заражена этим вирусом.

В итоге мы написали небольшой скрипт на Python для обхода нашей файловой системы и обнаружения вредоносного кода.

Вот код для всех, кто заинтересован (ПРИМЕЧАНИЕ: ИСПОЛЬЗУЙТЕ НА СОБСТВЕННЫЙ РИСК): https://github.com/michigan-com/eval_scrubber

pip install eval_scrubber
// finds all infected files, will not do anything but READ
python -m eval_scrubber find .
// attempts to remove malicious code from files, potentially dangerous because it WRITEs
python -m eval_scrubber remove .

Эти сценарии будут сканировать файловую систему на наличие вредоносного содержимого и в качестве отдельной команды попытаются удалить функции eval base64.

Это действительно временное решение, потому что генератор этого вируса использует комментарии PHP, чтобы заставить регулярное выражение не совпадать. В итоге мы использовали auditd для отслеживания того, какой файл записывается в файл, который, как мы знали, был заражен: http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-изменения-в-файле.html

Как только мы нашли генератор вируса, сделали еще один eval_scrubber remove и тогда наша проблема была исправлена.

Я искал хорошее и быстрое решение. Это поможет вам определить, какие файлы заражены eval64. Затем вы можете использовать поиск/замену в Dreamweaver и удалить его сразу из всех файлов.

Подключаемый модуль сканирования угроз

НО

Был индексный файл с короткими 2 строками кода. Эти 2 строки вводили eval снова и снова. Я забыл, какой это index.php, но посмотрите в папках:

• wp-админ
• wp-контент
• wp-включить

Попробуйте поискать md5 в своих файлах с помощью Dreamweaver.

Надеюсь, ты сможешь это исправить.