Вирус PHP?

@Salmonn · Регистрация: 26.01.2021

Студворк — интернет-сервис помощи студентам

Здравствуйте! Макхост заблокировал ресурс. При сканирование кода, антивирусом в файле выдал ошибку вида:

{HEX}Malware.Expert.eval.file.get.conten ts.UNOFFICIAL

Сайт не работает 2 месяца, но файл который сейчас заражен, последний раз изменялся в 19 году.
Как найти вирус, и вирус ли это, потому что, до ноября всё было ОК.

Кусок кода на который ссылается антивирус:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
function SetFilePermission($path, $permissions)
  {
    $originalPath = $path;
 
    CMain::InitPathVars($site, $path);
    $documentRoot = CSite::GetSiteDocRoot($site);
 
    $path = rtrim($path, "/");
 
    if (strlen($path) <= 0)
      $path = "/";
 
    if( ($position = strrpos($path, "/")) !== false)
    {
      $pathFile = substr($path, $position+1);
      $pathDir = substr($path, 0, $position);
    }
    else
      return false;
 
    if ($pathFile == "" && $pathDir == "")
      $pathFile = "/";
 
    $PERM = Array();
    if(file_exists($documentRoot.$pathDir."/.access.php"))
    {
      //include replaced with eval in order to honor of ZendServer
      eval("?>".file_get_contents($documentRoot.$pathDir."/.access.php"));
    }
 
    if (!isset($PERM[$pathFile]) || !is_array($PERM[$pathFile]))
      $arPermisson = $permissions;
    else
      $arPermisson = $permissions + $PERM[$pathFile];
 
    return $GLOBALS["APPLICATION"]->SetFileAccessPermission($originalPath, $arPermisson);
  }

Я php не знаю, но как понял, это код для работы обратной связи по почте или что-то такое. Подскажите, что это.

@brian778 · 10.01.2023, 00:15

Сообщение от Salmonn

Подскажите, что это

Этот файл у себя найдите

Сообщение от Salmonn

.access.php

Тогда будет ясно что это

Добавлено через 2 минуты
http://bxapi.ru/src/?module_id... Permission
Битрикс это вроде. Только с одним нюансем небольшим

@Salmonn · 10.01.2023, 00:55 **[ТС]**

Вы имеете ввиду разницу в строчках с добавлением eval с

PHP
1
2
//include replaced with eval in order to honor of ZendServer
            eval("?>".file_get_contents($documentRoot.$pathDir."/.access.php"))

вместо:

PHP
1
2
3
$PERM = Array();
        if(file_exists($documentRoot.$pathDir."/.access.php"))
            @include($documentRoot.$pathDir."/.access.php");

В файле .access.php, только:

PHP
1
2
3
4
<?
$PERM["admin"]["*"]="D";
$PERM["wizards"]["*"]="D";
?>

@brian778 · 10.01.2023, 01:16

Вы этот фрагмент как нашли? За счёт названия вируса и то что в нём есть eval и file_get_contents?
Если да, то так вы его никогда не найдёте. Потому что тело вируса будет зашифровано всякими xor и ещё бог знает чем, вплоть до вызова того же eval через переменную

Что касается изначального вопроса, это точно Битрикс. Полистал разные версии, есть и такая вариация. И точно чистый код, если вы кнчн все .access нашли и проверили, так как судя по всему их там много

@Salmonn · 10.01.2023, 01:18 **[ТС]**

Посмотрел файлы прав доступа. "D" запрещает всё. Поставить "R", чтение?
Рановато спросил.
Как этот вирус можно обнаружить?
Я уже заменил eval на @include, но видимо это неверно.

@brian778 · 10.01.2023, 01:25

Сообщение от Salmonn

Я уже заменил eval на @include, но видимо это неверно.

Этого нельзя было делать

Сообщение от Salmonn

Как этот вирус можно обнаружить?

Понятия не имею. Я могу только сказать как я бы делал
Берётся бэкап где нет его или же ставится версия чистая. И делается сверка всех файлов где что поменялось, где добавились файлы, где удалились (своими разработками или тем же гитом, кому как нравится). Ну а после

Пилите, Шура, пилите - она золотая!

@Salmonn · 11.01.2023, 01:14 **[ТС]**

Спасибо. Запросил вчера логи по SSH/FTP подключениям у хостера, сегодня ответили что вирусный код уже не обнаружен, просто есть подозрительные файлы (те же). Логи хостер не предоставляет. Интересно.

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@brian778 419 / 311 / 107 Регистрация: 30.08.2022 Сообщений: 1,195
	10.01.2023, 01:16
	Вы этот фрагмент как нашли? За счёт названия вируса и то что в нём есть eval и file_get_contents? Если да, то так вы его никогда не найдёте. Потому что тело вируса будет зашифровано всякими xor и ещё бог знает чем, вплоть до вызова того же eval через переменную Что касается изначального вопроса, это точно Битрикс. Полистал разные версии, есть и такая вариация. И точно чистый код, если вы кнчн все .access нашли и проверили, так как судя по всему их там много 0

@Salmonn 0 / 0 / 0 Регистрация: 26.01.2021 Сообщений: 28
	10.01.2023, 01:18 [ТС]
	Посмотрел файлы прав доступа. "D" запрещает всё. Поставить "R", чтение? Рановато спросил. Как этот вирус можно обнаружить? Я уже заменил eval на @include, но видимо это неверно. 0

@Salmonn 0 / 0 / 0 Регистрация: 26.01.2021 Сообщений: 28
	11.01.2023, 01:14 [ТС]
	Спасибо. Запросил вчера логи по SSH/FTP подключениям у хостера, сегодня ответили что вирусный код уже не обнаружен, просто есть подозрительные файлы (те же). Логи хостер не предоставляет. Интересно. 0