Comment nettoyer votre site Web après une infection virale eval(base64_decode) ?

Comment se débarrasser des fichiers de virus eval-base64_decode

Problème :

Votre site Web a été infecté par un virus qui insère du code PHP malveillant dans des fichiers PHP, en commençant par eval(base64_decode('. Ce code peut compromettre votre site et permettre aux attaquants d'exécuter des commandes arbitraires.

Trou de sécurité :

Le virus exploite généralement les vulnérabilités des applications Web ou des plugins qui permettent aux attaquants de télécharger ou d'exécuter du code malveillant.

Analyse du code PHP :

Le code PHP utilise plusieurs techniques :

• Décodage Base64 pour masquer le code malveillant.
• Désactive le rapport d'erreurs avec error_reporting(0);.
• Vérifie un utilisateur spécifique agents et adresses IP pour contourner les mesures de sécurité.
• Insère une iframe invisible qui récupère et exécute le code malveillant.

Code Iframe :

L'iframe tente de charger un serveur caché depuis http://lzqqarkl.co.cc/QQkFBwQGDQMGBwYAEkcJBQcEAAcDAAMBBw==. Ce serveur peut héberger du code malveillant supplémentaire ou rediriger vers des sites de phishing.

Étapes pour nettoyer votre site. :

1. Arrêtez le site :

• Bloquez temporairement l'accès à votre site à l'aide de la configuration de votre serveur Web.

2. Téléchargez tous les fichiers :

• Créez une sauvegarde de l'intégralité de votre site.

3. Installez l'utilitaire de comparaison de fichiers :

• Utilisez un utilitaire tel que WinMerge ou DiffMerge pour comparer vos fichiers à la sauvegarde.

4. Comparer les fichiers :

• Identifiez et restaurez tous les fichiers qui ont été modifiés ou supprimés.
• Écrasez tous les fichiers contenant du code malveillant par leurs homologues propres.

5. Examinez les mesures de sécurité :

• Mettez à jour les mots de passe, supprimez les plugins inutilisés et vérifiez les paramètres de sécurité de vos applications et de votre serveur.

6. Vérifier la fonctionnalité du site :

• Vérifiez que votre site fonctionne correctement après le nettoyage.

7. Implémenter la détection automatisée :

• Utilisez des outils comme Tripwire ou log监控器 pour identifier les modifications apportées aux fichiers.

8. Planifiez des sauvegardes :

• Sauvegardez régulièrement votre site et conservez plusieurs versions.

9. Surveillez votre site :

• Gardez un œil sur vos journaux pour détecter toute activité suspecte ou tentative d'accès.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!