Вирус на веб-сайте WordPress — как декодировать edoced_46esab

Вирус на веб-сайте WordPress — как декодировать edoced_46esab

В конце февраля (20-21) произошли следующие значительные хакерские атаки на сайты, основанные на CMS WordPress. Получив доступ, злоумышленники разместили PHP-файлы на страницах и добавили код в htaccess, благодаря чему веб-сайты могли не только передавать ссылки на подстраницы, но также выступать в качестве типичной страницы дверного проема — перенаправить трафик из поиска Google и оставить прямые записи нетронутыми.

По умолчанию для точного удаления вируса вам нужно узнать зараженный PHP-скрипт, посмотреть, какие элементы он содержит, какие файлы он имеет в виду.

Функции, используемые для вычеркивания кода в зараженных PHP-файлах, чаще всего основаны на base64_decode, хотя из атак с февраля у нас было тройное кодирование, простой, но раздражающий chr (num), возвращает определенный символ из таблицы ASCII, num — числовое значение, присвоенное определенному символу, здесь больше и строка символы, закодированные в edoced_46esab — инвертированная строка base64_decode, используя функцию strrev.

Инфекции от 20-21 включили файл htaccess (перенаправление всех запросов), а в корневой каталог — файл PHP со случайным именем — наиболее случайно сгенерированный файл, сгенерированный на этапе ввода страницы, содержащей основной код паразита. В этой короткой статье я не буду обсуждать, как конкретно удалить этот тип заражения (для этого потребуются все исходные коды из извлеченных зараженных файлов, которые я не могу предоставить по очевидным причинам), но я представлю простой способ декодирования файла с обфускацией кода, включая edoced_46esab и strrev, потому что в частных сообщениях задавали вопросы о методах декодирования.

Ниже представлено простое приложение для изменения строки, я добавил к ней декодирование строк base64, потому что нельзя жить без другого. Я знаю, что несколько функций На данный момент только так много и много. Поскольку меня будет интересовать программа, я добавлю другие варианты, полезные при работе с диагностикой инфекций с веб-сайтов, в частности в CMS WordPress.

Поддержка приложения очень проста, вставьте фрагмент затемненного кода в верхнем текстовом поле, выберите режим кодирования / декодирования (Encode / Decode) и укажите тип кодирования — в настоящее время существует 2 типа — Base64 и StrRev. Во втором текстовом поле мы получаем расшифрованную строку. В случае base64_decode приложение автоматически распознает и извлекает соответствующие строки для декодирования, но также может работать с чистым текстом в base64. Интерфейс приложения на английском языке, извините.

Для запуска программы вам потребуется .NET Framework 4.5.2 или новее.

Возвращаясь к теме заражения, если у вас есть зараженный файл и смотрите в экземпляре StrRev и edoced_46esab, сначала используйте обычную отмену символов, во-вторых, используйте декодер Base64. На выходе вы получите полный код вируса.

Бывает, что в коде и strrev он инвертирован (verrts) или несколько раз используется Base64, или часть вируса кодируется с использованием других методов. Во многих случаях информация о типе кодирования находится в переменной, а часть кода высасывается из совершенно другого файла (установка), поэтому вы всегда должны анализировать все ссылки.

PS. Я знаю, что есть онлайн-инструменты для декодирования, но мне нужно что-то на рабочем столе с возможностью быстрого расширения. Я выпускаю версию 1.0.0 БЕСПЛАТНО, это может быть полезно кому-то.