eval(base64_decode : comment les virer

Y’en a un peu marre des injections eval(base64_decode !

J’ai de nouveau subit une attaque dans le genre ces derniers jours.

Cela ne m’est pas d’une grande utilité de décoder cette injection, même si des decodeur de eval(base64 existent.

Alors comme faire pour supprimer ce code malicieux ? Lorsque comme dans mon cas, plusieurs sites sont sur le même serveur et donc tous infecté, supprimer à  la main dans chaque fichier le code malin prend un temps fou !

De même, la sauvegarde soigneusement conservée oblige à réimporter tous les sites, à effectuer tous les réglages depuis la date de la dernière sauvegarde…

Lors de la précédente attaque du nom de XX, j’avais trouvé la parade avec XX.

J’ai bien tenté de repassé ce fichier sans succès ! Aussi, j’ai lancé un appel sur Twitter et la réponse de Jacques, même si elle ne me convenait pas car je recherchais un scipt php ou une ligne de commande à envoyé par SSH m’a donné une idée.

Pourquoi ne pas effectuer un rechercher-remplacer dans les fichiers sur le serveur ! Je ne dis pas que c’est la solution idéale… c’est juste une solution ! Pour mémoire, je ne suis pas un pur informaticien, sinon cela se saurait 😉 Donc, je pense que mon procédé est perfectible 😉 je compte sur vous pour vos suggestions !

Cette méthode peut s’appliquer sur PC, il suffit de trouver les applications correspondantes 🙂

Se connecter au serveur distant est possible sur Macintosh grâce à MacFusion. Le serveur est reconnu comme le serait un disque dur externe !

Une application qui permet d’effectuer des rechercher-remplacer au sein de fichier ? Search&replace que j’avais déjà testé fait très bien l’affaire ! Son coût est dérisoire en comparaison des services rendus.

Donc, allons y… je me connecte sur mon serveur en SSH via MacFusion ! c’est là que je rencontre le plus de problèmes car j’ai l’impression que ce produit n’est pas stable (mais ce n’est qu’une impression 😉

Le volume distant monté, je n’ai même pas besoin d’afficher son contenu à l’écran (Reveal) si j’ai pris la précaution de copier l’ensemble du code malin depuis la première ligne <?php /**/ jusqu’àu prochain <?php (je conseille de prendre la ligne entière et pas seulement <?php afin de garder les passages à la ligne…

Petite mise à jour un rechercher-remplacer sans le <?php de la requête précédente est également nécessaire lors d’un second passage 🙂

Maintenant, je peux lancer Searh&Replace… Le dossier à ouvrir est évidemment celui où se trouve le site que je veux désinfecter ! Par la fenêtre de recherche de fichier traditionnelle, on le trouve assez facilement dans le serveur distant.

Dans la partie rechercher, je colle le code malin sélectionné précédemment. Dans la zone de remplacement, la dernière ligne du copier-coller <?php. Pour gagner un peu de temps, vous pouvez cocher Inclure les sous-dossiers ce qui permet en une seule manipulation de nettoyer complétement le site !

Si cela vous intéresse vous pouvez paramétrer cette application pour obtenir quelques statistiques comme le nombre de remplacement…

Allez hop, action ! On clique sur Remplacer !

Une fenêtre en cours d’affiche dans laquelle il est notifié : Patience, le traitement peut prendre quelques minutes… Soyons honnête, on est parfois plus proche de plusieurs heures selon la taille du site ! Quelques minutes c’est lorsque vos fichiers sont en local sur votre propre disque dur :-).

Vous pouvez aussi télécharger vos fichier du serveur sur votre disque dur, effectuer le nettoyage et remettre en place les fichiers sur le disque distant !

Mais, au final, vous laissez travailler Searh&Replace en tâche de fond et vous écrivez par exemple un article pour votre blog sur comment supprimer les codes malins eval(base64_decode 🙂 que je publie une fois mon site nettoyé 😉

0 comments for “eval(base64_decode : comment les virer

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.