🔃 🛑 🤳 दुर्भावनापूर्ण कोड से संक्रमित साइट फ़ाइलों की सफाई 👴🏻 🕊️ 🤵🏾

शुभ दोपहर, प्रिय Habrausers!

कुछ समय पहले, एक महीने के बारे में, हमारी कंपनी के सर्वर पर एक वायरस दिखाई दिया। एक प्रमुख परियोजना पर, सभी .js फाइलें प्रभावित हुईं। स्थिति सामान्य है - फ़ाइलों के अंत में दुर्भावनापूर्ण कोड जोड़ा गया था। यांडेक्स ने साइट के संक्रमण के बारे में चेतावनी जारी की और कार्य विभाग को इसे साफ करने के लिए एक कार्य प्राप्त हुआ। स्थिति जल्दी से पर्याप्त हल हो गई, परियोजना को स्वच्छ भंडार से उत्पादन तक अपलोड किया गया, पासवर्ड बदल गए।

जल्द ही, हालांकि, तकनीकी विभाग में कंपनी के सभी विभागों से संक्रमित साइटों के बारे में शिकायतें प्राप्त होने लगीं। ग्राहकों ने प्रबंधकों से शिकायत की, एसईओ ने तुरही दी कि साइटें खो रही थीं। एक वास्तविक महामारी शुरू हो गई है। * .Js फ़ाइलों के अलावा, * .pp फाइलें भी संक्रमित थीं, जिनमें से अंत में कोड जोड़ा गया था:

echo 'http://somedomain.com/style.js';

पहली बार इस तरह के बड़े पैमाने पर संक्रमण के लिए सर्वर को उजागर किया गया था। इस विषय पर विचार अलग थे, कुछ असंतुष्ट बर्खास्त कर्मचारी के पिछले दरवाजे तक, जिन्होंने एक गंदा चाल खेलने का फैसला किया। हालांकि, इसकी पुष्टि नहीं हुई है। एक शेल स्क्रिप्ट लिखी गई थी जो * .php फ़ाइलों को साफ करती है, और वे अभी भी एक साफ रिपॉजिटरी से उतारकर * .js फाइलों के साथ मैथुन करते हैं। साइटों के लिए उपयोग खातों के लिए पासवर्ड, एफ़टीपी तक पहुंच - सब कुछ बदल दिया गया है। WinSCP के लिए ftp के साथ काम करने वाले सभी को स्थानांतरित कर दिया गया और एक्सेस की गई फाइलों को सौंप दिया।

सर्वर धीरे-धीरे "पुनर्प्राप्त" करने लगा और साइट्स Yandex पर लौट आईं। हालांकि, हमारे सर्वर पर सौ से अधिक क्लाइंट साइट के अलावा, थर्ड-पार्टी होस्टिंग का उपयोग करने वाले क्लाइंट हैं। एफ़टीपी पहुंच, कोई कमांड लाइन और शेल नहीं। लगभग सभी साइटें fededitor'om या ckeditor'ov के पुराने संस्करणों के साथ संयोजन में एक स्व-लिखित सीएमएस (वर्षों पहले लिखित एन संख्या) का उपयोग करती हैं। Ckfinder फ़ाइल प्रबंधक में, प्राधिकरण जाँच को साधारण रिटर्न ट्रू द्वारा लागू किया जाता है; अनिच्छा से उपयोग करें। यह भी ध्यान देने योग्य है कि कई संक्रमित * .js फाइलें एक साफ रिपॉजिटरी को उतारकर ठीक नहीं की जा सकतीं। हम ऐसी साइटों पर Git का उपयोग नहीं करते हैं, और होस्टिंग के अधिकांश बैकअप अधिकतम 7 दिनों के लिए संग्रहीत किए जाते हैं। और चूंकि तृतीय-पक्ष होस्टिंग पर स्थित साइटें व्यावहारिक रूप से हमारे द्वारा निगरानी नहीं रखती हैं, इसलिए सभी बैकअप भी संक्रमित थे।

वायरस ने प्रत्येक फ़ाइल में अपनी स्वयं की प्रतियों की एक मनमानी संख्या को एक से पांच तक जोड़ दिया (मैं अब इसे नहीं देखा है) और उन सभी के अलग-अलग चर नाम, फ़ंक्शन नाम थे और उनके लिए चिपटना असंभव था। प्रत्येक बहुरूपिका के लिए कोड का एकमात्र स्थिर भाग निम्नलिखित कोड अनुभाग था:

 =Array.prototype.slice.call(arguments).join(""),

उन्हें फाइलों में प्रविष्टियों की खोज के लिए चुना गया था। Jquery पुस्तकालयों 1.6.3 और 1.7.2 की जाँच की गई और स्रोत कोड में कोई मेल नहीं मिला। तो अनुक्रम का इस्तेमाल किया जा सकता है।

प्रत्येक साइट पर दर्जनों * .js फ़ाइलों के साथ मैन्युअल रूप से परेशान न करने के लिए, php में एक स्क्रिप्ट लिखने का निर्णय लिया गया। उसे वांछित लाइन के लिए उसे इंगित की गई सभी फाइलों को स्कैन करना होगा। क्षितिज का विस्तार करने के लिए, इसलिए बोलने के लिए, निष्पादन (), सिस्टम () कमांड या उदाहरण के लिए, phpseclib लाइब्रेरी का उपयोग नहीं करने का निर्णय लिया गया था। एल्गोरिथ्म अपमान करने के लिए सरल है: स्क्रिप्ट दिए गए सभी निर्देशिकाओं को खोज फ़ाइलों में निर्दिष्ट लाइन की खोज में स्कैन करती है। परिवर्तन करने से पहले, स्क्रिप्ट फ़ाइल का बैकअप लेती है (ठीक है, आप कभी नहीं जानते कि क्या है) और उस पंक्ति को हटा देता है जिसमें वांछित विकल्प मौजूद है। लाइन-बाय-लाइन का काम इस तथ्य के कारण चुना गया था कि वायरस को एक पंक्ति में फ़ाइल में लिखा गया था।

मैं एक .js फ़ाइल में वायरस कोड का एक उदाहरण दूंगा: pastebin.com/J0zRduQw

मैंने इसे डिसाइड नहीं किया, जो परवाह करता है - इंटरनेट पर कई ऐसे उदाहरण हैं जो मोटे तौर पर कोड को पार्स करते हैं। इसलिए, मैं तुरंत स्कैनर कोड पर आगे बढ़ूंगा।

 <? /* ---------------------------------------------------------------------------------- dScaner Class - START ---------------------------------------------------------------------------------- */ /* * *  - dScaner         *    * * :   *  : 03-04-2012 *  : 0.0.3 * */ Class dScaner { //      // $get_str -   // $separator -     function request($get_str, $separator) { if (isset($get_str) && !empty($get_str)) { //        $obj = explode($separator, $get_str); return $obj; } else { return false; } } /* * *       : * * $this->find($path, $files_allowed, $requested_string); * * $path -   ,      * $files_allowed -  ,    * $requested_string -   * */ function find($path = './', $files_allowed, $requested_string) { //      ,    $dir_disallow = array('.', '..', '.htaccess', '.git'); if(is_dir($path)) { $temp = opendir($path); while (false !== ($dir = readdir($temp))) { if ((is_dir($path . $dir)) && (!in_array($dir, $dir_disallow)) ) { //   -   $sub_dir = $path . $dir . '/'; $this->find($sub_dir, $files_allowed, $requested_string); } elseif ((is_file($path . $dir)) && (!in_array($dir, $dir_disallow)) && (strpos($dir, $files_allowed) == true) && (strpos($dir, '_BACKUP') == false) ) { //   //      $in_dir_file = $path . $dir; //     $temporary_file = file_get_contents($in_dir_file); //      $file_founded = false; //     $tf_strings = explode("\n", $temporary_file); //    foreach ($tf_strings AS $item) { $item = strval($item); //        if (strpos($item, $requested_string) !== false) { $file_founded = true; } } //      if ($file_founded) { //         print "<span style='display:block; padding:5px; border:1px solid #1f4f18; background-color:#d5f5ce; font-size:12px; line-height:16px; font-family:tahoma, sans-serif; margin-bottom:-15px;'>" . $in_dir_file . " -     .<br> </span><br>"; } } } closedir($temp); } } /* * *    : * * $this->scan($path, $files_allowed, $requested_string); * * $path -   ,      * $files_allowed -  ,    * $requested_string - ,       * */ function scan($path = './', $files_allowed, $requested_string) { //       $dir_disallow = array('.', '..', '.htaccess', '.git'); if(is_dir($path)) { $temp = opendir($path); while (false !== ($dir = readdir($temp))) { if ((is_dir($path . $dir)) && (!in_array($dir, $dir_disallow)) ) { //   -   $sub_dir = $path . $dir . '/'; $new_parent_dir = $path . $dir; $this->scan($sub_dir, $files_allowed, $requested_string, $new_parent_dir); } elseif ((is_file($path . $dir)) && (!in_array($dir, $dir_disallow)) && (strpos($dir, $files_allowed) == true) && (strpos($dir, '_BACKUP') == false) ) { //   //      $in_dir_file = $path . $dir; //     $temporary_file = file_get_contents($in_dir_file); //    $create_backup = false; //         $tf_strings = explode("\n", $temporary_file); //    $str_index = 0; //     foreach ($tf_strings AS $item) { $item = strval($item); if (strpos($item, $requested_string) !== false) { //        //   ,      $create_backup = true; //       unset($tf_strings[$str_index]); } $str_index++; } //   if ($create_backup) { //              chmod($path, 0777); //     $temp_file_backup = $in_dir_file.'_BACKUP'; //       file_put_contents($temp_file_backup, $temporary_file); //      $scanned_file = implode("\n", $tf_strings); //    if (file_put_contents($in_dir_file, $scanned_file)) { //   print "<span style='display:block; padding:5px; border:1px solid #1f4f18; background-color:#d5f5ce; font-size:12px; line-height:16px; font-family:tahoma, sans-serif; margin-bottom:-15px;'>" . $in_dir_file . " -  . (+ BACKUP) <br> </span><br>"; } else { //    print "<span style='display:block; padding:5px; border:1px solid #822121; background-color:#ea7575; font-size:12px; line-height:16px; font-family:tahoma, sans-serif; margin-bottom:-15px;'>".$in_dir_file ." -   . </span><br>"; } //          755 chmod($path, 0755); } } } closedir($temp); } } /* * *     * * $this->restore_backups($path, $files_allowed); * * $path -   ,      * $files_allowed -  ,    * */ function restore_backups($path = './', $files_allowed) { //       $dir_disallow = array('.', '..', '.htaccess', '.git'); if(is_dir($path)) { $temp = opendir($path); while (false !== ($dir = readdir($temp))) { if ((is_dir($path . $dir)) && (!in_array($dir, $dir_disallow)) ) { //   -   $sub_dir = $path . $dir . '/'; $this->restore_backups($sub_dir, $files_allowed); } elseif ((is_file($path . $dir)) && (!in_array($dir, $dir_disallow)) && (strpos($dir, $files_allowed) == true) ) { //   //      $in_dir_file = $path . $dir; if (is_file($in_dir_file.'_BACKUP')) { //  ,    $temporary_file_from_backup = file_get_contents($in_dir_file.'_BACKUP'); //    if (file_put_contents($in_dir_file, $temporary_file_from_backup)) { //   unlink($_SERVER['DOCUMENT_ROOT'].'/'.$in_dir_file.'_BACKUP'); //   print "<span style='display:block; padding:5px; border:1px solid #1f4f18; background-color:#d5f5ce; font-size:12px; line-height:16px; font-family:tahoma, sans-serif; margin-bottom:-15px;'>".$in_dir_file ." - . </span><br>"; } else { //    print "<span style='display:block; padding:5px; border:1px solid #822121; background-color:#ea7575; font-size:12px; line-height:16px; font-family:tahoma, sans-serif; margin-bottom:-15px;'>".$in_dir_file ." -  . </span><br>"; } } } } closedir($temp); } } } /* ---------------------------------------------------------------------------------- dScaner Class - END ---------------------------------------------------------------------------------- */ ?>

क्लास कोड पर कुछ विस्तार से टिप्पणी की गई है, कोई सवाल नहीं उठना चाहिए।
उपयोग का उदाहरण (पहला पैरामीटर खोज की आरंभ निर्देशिका है, दूसरा खोज में शामिल फ़ाइलों का प्रकार है, तीसरा खोज स्ट्रिंग है):

स्कैनर का एक उदाहरण बनाएँ।

 $dron = new dScaner;

किसी चीज़ को ओवरराइट करने से पहले, यह देखना सार्थक है कि क्या कोई फाइल है जो खोज की शर्तों को पूरा करती है।

 $dron->find('./', '.js', '=Array.prototype.slice.call(arguments).join(""),');

हम छीनने लगते हैं।

 $dron->scan('./', '.js', '=Array.prototype.slice.call(arguments).join(""),');

किस स्थिति में, आप हमेशा बनाए गए बैकअप को पुनर्स्थापित कर सकते हैं।

 $dron->restore_backups('./', '.js');

स्कैनर को कई साइटों पर परीक्षण किया गया है और आवश्यकतानुसार काम करता है, हमारे सर्वर पर उत्पन्न होने वाली एकमात्र समस्या फ़ाइल का स्वामी है। यह आवश्यक है कि फ़ाइल का स्वामी 'www: www है। औसतन, कई दर्जन * .js फ़ाइलों वाली साइट 5-10 से 20 सेकंड का समय लेती है। और मैं होस्टिंग सेवाओं की एक सूची देता हूं, जिस पर स्क्रिप्ट का सफलतापूर्वक परीक्षण किया गया है: इन्फोबॉक्स, एगावा, जेनो, एमकोस्ट, एचसी। सभी में से, मोस्टोस्ट सबसे धीमा था, बाकी पर, सब कुछ काफी चालाकी से काम करता था।

PS स्क्रिप्ट वायरस के लिए रामबाण होने का ढोंग नहीं करती है, इसे संक्रमण के एक विशिष्ट मामले के लिए और प्रत्येक बाद के सुधार के लिए डिज़ाइन किया गया है। हालांकि, यह कार्य के साथ मुकाबला करता है। मुझे उम्मीद है कि कोई उपयोगी होगा।
सादर प्रणाम!

दुर्भावनापूर्ण कोड से संक्रमित साइट फ़ाइलों की सफाई

More articles: