@RomkaChev

Как удалить вирус PHP:Decode-CY [Trj] ?

На сервере начали появляться файлы с явно вредоносным кодом.

Avast говорит, что это PHP:Decode-CY [Trj] в одном случае и PHP:SHell-HZ[Trj] в другом.

В это же время с сервера начал отправляться спам в промышленных масштабах.

Ручное удаление вредоносных файлов не помогло.
  • Вопрос задан
  • 3438 просмотров
Пригласить эксперта
Ответы на вопрос 1
Psychosynthesis
@Psychosynthesis
Fullstack developer and radio engineer
У меня аналогичная проблема.

Аваст даёт следующие названия:
PHP.Agent-MN
PHP.Decode-DJ
PHP.shell-HZ

Я не смог точно найти лазейку, через которую заражается сервер. Знаний PHP у меня, увы, не хватает чтобы понять как работает этот зловред. Восстановил файлы из старого бэкапа и обновил Joomla до последней версии - не помогло, буквально через три часа работоспособность сайта вновь была нарушена, это вывело меня из себя и я попробовал копнуть глубже.

Я выяснил, что зловред создаёт рандомные (по всей видимости) файлы в системных папках Joomla, в которых закодировано содержимое основного кода вируса. Кодировка не особенно заумная, бывает либо base64, либо кодировка unix-символами, однако так как она получается рваной, логика работы от меня ускользает, да и лень мне всё воедино собирать - весь код этой дряни аваст не ищет, так как очевидно, не во всех файлах есть зловредный код. К тому же эта скотина умеет подмешивать части своего кода в системные файлы joomla, это усложняет поиск лишнего кода. Помимо прочего, он модифицирует главный файл index сайта. Насколько я понимаю, он делает из него нечто вроде лаунчера, который запускает что-то собирающее остальной код воедино из частей, разбросанных по всем директория. Также, даже если сайт не использует htaccess, зловред добавляет его в корень сайта. Помимо прочего в SQL-базе jooml'ы появилась подозрительная запись в разделе сессий пользователей, я её тоже удалил.

Исходя из всего что мне удалось выяснить, я думаю что как минимум часть операций производится вручную.

Я не нашёл пока нормального лечения этой проблемы. Однако изменил права на папку в которой находится корневой каталог сайта и файлы, лежащие в корне сайта - везде 0444.

Я подозреваю что косяк тут в конфигурации у хостера, так как попытки изменения index.html были даже на статичном сайте. Однако, видимо поняв, что результата это не даст (сайт-то статичный), изменения были отменены.

Однако в одном из файлов есть unix-команды, что наводит на мысль об уязвимости в конфигурации сервера. У вас, случайно, не на NIC-RU хостинг?

Было бы круто, если бы кто-нибудь помог разобраться с этой заразой. Я сохранил несколько файлов для анализа.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы