Сразу вспоминается анекдот:
Несут санитары мужика на носилках. Он им:- Ребята, а, ребята, может таблеточку ..?- Молчите, больной!- Ребята, а, ребята, может укольчик?- Молчите, больной!- Ну ребята, может капельницу?- Молчите, больной! - Врач сказал "В морг" значит в морг!
Потому, что там полноценные сигнатуры:
[0] => <\?php\s*eval\(\s*base64_decode\(\s*"ew0KaWYgKCFkZWZpbmVkKC[^"]{100,60000}"\)\);\s*(\?>)?
[1] => <\?php\s*eval\(base64_decode\("ew0KaWYgKCFkZ.{100,1000}Qp9DQp9"\)\);\?>\s*
[2] => eval\s*\(\s*base64_decode\s*\(\s*"[^"]{1000,20000}hbC8qbmxpcHlmbWNreSovKGliY2ticmJ2KCRzaXVyeGJyYSwgJHlkKSk7Cn0="\s*\)\s*\)\s*;
[3] => <script\s*[^>]{0,40}>var\s*(\w{1,40})\s*=\s*\[["'][^\]]{400,550}['"]\];\s*var\s*url\s*=\s*String\[\1\[\d\][^`]{700,950}var\s*(\w)\s*=\s*true;\s*for\(var\s*i=scrpts\[\1\[15\]\];\w--;\)\{if\(scrpts\[\w\]\[\1\[\d+\]\]\s*==\s*\1\[\d+\]\)\{\2\s*=\s*false\}\};if\(\2\s*==\s*true\)\{a\(\)\}\}</script>
без обновления этой базы, она устаревает быстро.
Или вот сигнатура:
[1399] => url\s*=\s*https://bank\.westpac\.co\.nz/
Из забавного:
[48] => David\s+Blaine
Всё никогда не найдётся. В общем случае.
Вот в общем случаи как раз всё находиться.
Ну если только вирус не встроен в общий процесс и, например, тупо удаляет файлы или закодирован ioncube. В остальном всё находится, главное понимать, какой код перед тобой. Но это уже не общие случаи.
вот тут по подробнее - что за они?
Я смотрел все сигнатуры Айболита, там они полноценные из кусков вирусов, чтобы не давать ложных срабатываний.
Мой же поиск более параноидальный, состоит из всех запрещённых функций и всяких вставок не стандартных. Больше ручной работы так скажем, но зато найдётся всё 😊
Полуживой. Сигнатуры не обновляются же.
Для определения точности это не имеет значения, в любом случаи сначала прогон им, а потом поиск более детальный через свои утилиты. В PHP мало способов скрыть код.
Я на squid поднимал прокси, работает без проблем. С SSL конечно надо повозиться, но в остальном сложностей нет, куча инструкций в инете.
openvpn
Эти сервисы показывают ВНЕШНИЕ проявление вируса, а для лечения нужны ВНУТРЕННИЕ проявления вируса и вот тут начинается засада.
еще дополню. сайт на дле.
Что еще можно предпринять? Какие варианты?
У меня сайт новостник с десятками тысяч бэков.
1. УГ ссылки не пашут. Ставили ссылки на статьи, гугл игнорит именно включение их в индекс
2. Не имеет смысла, там идут выборки по этим данным, вот так просто зашло 10 человек и в индексе не работает, иначе боты бы уже во всю использовались
3. Нет информации.
Меня часто просят в личке отправить на переиндексацию страницы. Раньше сам это делал где-то раз в два три месяца, но там или часть просто не меняет статус или потом просто количество увеличивается. Сегодня в индексе, завтра нет.
ну тогда регуляркой
preg_match_all('@<ID>(.*?)</ID>@',$xml,$ids);
print_r($ids);
