RSS

Modifikuotas internetinių svetainių virusas

09 Gru
Modifikuotas internetinių svetainių virusas

Tik prieš pora savaičių mes aptikome kenkėjiška, naujo tipo, kuris yra atsistatantis, internetinių svetainių virusas, kusis pralaužia visu tipų svetaines ir įdiegia į svetainę daugybę PHP fragmentų. Jis turi specialų GUID, kad galėtų valdyti savo kodą, o nepašalinus jo iš visų failų, atsistatyto.

Naujo tipo, modifikuotas internetinių svetainių virusas. 

Tai naujo tipo internetinių svetainių virusas, kurio nesimato plika akimi, taip pat jo galite nepastebėti ir faile, kuriame jis yra. Šis naujas virusas jau nulaužė daugybe Wordpres, PrestaShop, Joomla, OpenCart ir kito tipo svetaines, kurias tik suranda internete. Nulaužęs svetainę, integruoja savo kodą į esamus failus, sukuria daugybę naujų aplankalų su failais, sukuria naujus plugins ir modulius su virusiniais failais, kuria ir slepia naujus .htaccess kiekvienam naujai sukurtam failui. Nauji .htaccess virusui reikalingi tam, jei kartais ji aptikę pašalintumėte, kad su .htaccess pagalba galėtų ne tik virusinius failus atstatyti, bet ir sukurti dešimtis naujų failų.

Po to, kai internetinių svetainių savininkai pradėjo kreiptis i mus.

Po to, kai internetinių svetainių savininkai pradėjo kreiptis i mus, dėl sulėtėjusios svetainės, mes keletą dienų nesupratome, kas atsitiko, kad serveris dirba maksimaliai ir nebeužtenka vietos diske, o gedimo nėra. Nuskenavus svetainę visomis dabartinėmis priemonėmis, šio tipo virusas nėra aptinkamas. Daugeliu atvejų, virusas naudoja nuo 91 iki 98 procentų serverio resursų, kad svetainė nesulėtėtų ir kad svetainės savininkas neįtartu, kad svetainė yra užkrėsta. Žemiau pridedu foto, ką tik nuskaitytos kliento interneto svetainės VPS serverio darbo rodiklius.

Internetiniu svetainiu virusas

Internetinių svetainių viruso pašalinimas

Šio naujo tipo internetinių svetainių viruso aptikimas ir pašalinimas nėra toks paprastas. Mums teko kurti specialia programėle jo aptikimui. Jis gali atrodyti ir taip: wp-admin/network/.1669435082. arba taip $bd11 ^ py8($fk6, $cj14, $fk6[13]($bd11)))); ir rasti tokio tipo svetimą kodą, tarp keliu šimtų kodo eilučių, be specialios programėlės ?? neįmanoma. Pašalinus jį iš visų failų, turite pašalinti ir visus sukurtus .htaccess, priešingu atveju jis atsistato ir viską paleidžia iš naujo.

Šis virusas tyliai dirba serveryje, nesukeldamas serverio darbuotojų jokio įtarimo apie jo buvimą ir siunčia masinius el. laiškus iš jūsų serverio.

Taigi, kaip pašalinti ši internetinių svetainių virusą.

Jo pašalinimas gali būti paprastas arba labai sudėtingas. Paprastas, jei jūsų svetainė yra tik reprezentacinė svetainė ir turite mėnesio senumo svetainės kopiją. Jei kopijos nėra, arba jei tai yra jūsų el. prekybos svetainė, jums reikės rankinių būdų patikrinti visus failus, kad rastumėte ir pašalintumėte svetimus kodus. Pašalinus virusus iš pagrindinės direktorijos ar aplankalų, virusas per minutę atsistato, todėl pirmiausia jums reikės susirasti vietą iš kurios jis plinta, kad ji iš ten pirmiausia pašalintumėte.

Sudėtingiausias pašalinimas bus, sukurtu aplankalų įvairiose direktorijose. Jūs net neįtarsite, ar tai motininis aplankalas ar sukurtas viruso, o ir pašalinus toki sukurta aplankalą, gali nustoti svetainė veikusi, jei pirmiausia nepašalinsite pradinio modifikuoto failo. Primename, kad virusas taip pat sukuria plugins ir moduliu aplankalus, kuriuos pastebėsite tik prisijungę prie serverio. Per svetainės admin jų nesimato.

Svetimas kodas dar gali atrodyti ir taip:

1. str_rot13($ZCTez);\x09return $ZCTez($XKWu);
2. <?php\x09\x09\x09\x09\x09$_HEADERS=getallheaders();if(isset($_HEADERS[
3. <?php $PbhtogeckLHmC=’y(3;]whcx)8$4mb dk1qog5sprlua=z_/0i9tvf_“76*.2n[je’;$q2866=$PbhtogeckLHmC[(105/15)].$PbhtogeckLHmC[(26-1)].$Pbhto
4. <?php class Mir\x0d\x0a{\x0d\x0a function __construct()\x0d\x0a {\x0d\x0a $stack = $this->_mv($this->zx);\x0d\x0a $stack = $this->_x64($this->debug($stack));\x0d\x0a $stack = $this->_core($stack);\x0d\x0a if …

Problemos sprendimas programuotojams

Jei svetainės kopijos nėra, arba negalima svetainės atstatyti iš kopijos, nes svetainė gali prarasti daug duomenų, kurie buvo sukelti paskutiniu metu, tada jums teks susikurti subdomena ir įsidiegti analogiška svetaine, kad galėtumėte palyginti visus failus ir aplankalus, kad galėtumėte rasti ir pašalinti sukurtus viruso. Pradėti reikėtu ne nuo pagrindinės direktorijos, o prisijungus prie serverio, ieškoti kuriame faile yra įsikūręs pagrindinis viruso kodas. Jis gali būti bet kuriame aplankale ar faile. Nepamirškite prieš pašalindami viruso kodus, juos nusikopijuoti, kad galėtumėte susikurti specialia programėle svetainės skenavimui. Praskenavus svetaine, jus aptiksite dar daug virusu, kuriu plika akimi nepastebėjote. Atsidarius failą su Notepad++ virusas gali būti ir toli dešinėje, kad atidarę failą jo nepastebėtumėte.

Mūsų rekomendacija: Skubiai kreipkitės į savo svetainės kūrėją (programuotoją), kad patikrintu, ar nėra užkrėsta jūsų svetainė. Jei tokio neturite, susisiekite su mumis. Užkardą nuo šio viruso reikia statyti ne svetainėje, bet prieš svetainę.

Kaip patenka virusas į svetaines?

Kaip patenka virusas į svetaines, nes nenustatėme, todėl kreipėmės į visus TVS kūrėjus (Wordpres, PrestaShop, Joomla, OpenCart), nes yra nulaužtos visu tipų svetainės. Atsakymo dar nesulaukėme, vyksta tyrimai.

 

Parašykite komentarą

Įveskite savo duomenis žemiau arba prisijunkite per socialinį tinklą:

WordPress.com Logo

Jūs komentuojate naudodamiesi savo WordPress.com paskyra. Atsijungti /  Pakeisti )

Twitter picture

Jūs komentuojate naudodamiesi savo Twitter paskyra. Atsijungti /  Pakeisti )

Facebook photo

Jūs komentuojate naudodamiesi savo Facebook paskyra. Atsijungti /  Pakeisti )

Connecting to %s

 
%d bloggers like this: