Twórcy antywirusów idą na łatwiznę?... "eval(base64_decode(..."

[Piotr GRD 608]

Właśnie zauważyłem, że twórcy antywirusów chyba idą na łatwiznę.

 

Otóż... Znajomy korzysta z Wordpressa - jak wiele osób. Co tydzień wykonuje automatycznie pełen backup wszystkich plików. Od pewnego czasu ni z tego ni z owego jeden z plików - "footer.php" zaczął być raportowany jako Trojan. Ale przecież nie uległ ten plik żadnej zmianie, jest taki sam od wielu miesięcy czy ponad roku, więc dlaczego nagle stał się wirusem?... Dla dwóch różnych antywirusów - zarówno tego używanego przez mojego znajomego jak i tego używanego przeze mnie - obydwa popularne i cenione, nie jakieś niszowe twory.

 

 

Niektórzy autorzy darmowych szablonów próbując uchronić się przed tym, że początkujący "webmasterzy" usuwają z ich szablonów linki do autora w stopce, kodują dla takiego Wordpressa pliki "footer.php" w formie:

<?php eval(base64_decode('ABCdef==')); ?>

Większość z nas tu obecnych chyba doskonale wie jak sobie z tym poradzić, ale początkujący webmasterzy stawiający swoje strony na Wordpressie, a nie znający ni w ząb PHP, nie potrafią tego rozgryźć, więc i linki do autora szablonu w stopce są bezpieczne.

 

Ale okazuje się, że użycie tej techniki samo w sobie - bez względu na zakodowaną treść - jest uznawane za Trojana... Zrobiłem eksperyment - zakodowana treść to "echo 'helo, world';"

<?php eval(base64_decode('ZWNobyAnaGVsbywgd29ybGQnOw==')); ?>

I co?... Stworzyłem Trojana! ; D

Ręce opadają...

 

Ja wiem, że takie i podobne techniki są używane do ukrywania niebezpiecznego kodu, wiem doskonale. Ale czy od teraz już każde użycie eval(base64_decode(... - bez względu na zakodowaną treść - będzie uznawane za niebezpieczne?...

[Macsch 122]

ESET q.q

[xorg 693]

Metoda opisana przez Ciebie jest używana tylko i wyłącznie w przypadku zamieszczania kodu w sposób ukryty, często wbrew woli właścicielowi strony.

[pietrovek 19]

cóż...programiści z esetu się nie postarali i tyle - trzeba zgłosić do nich ten problem i niech łatają

[Piotr GRD 608]

Metoda opisana przez Ciebie jest używana tylko i wyłącznie w przypadku zamieszczania kodu w sposób ukryty, często wbrew woli właścicielowi strony.

 

Nie tylko i wyłącznie.

Tak jak napisałem - początkujący "webmasterzy" lubią usuwać informację o autorze i linki do niego ze stopki darmowych szablonów, wbrew licencji, wbrew woli tych autorów. Niektórzy z autorów bronią się więc - przynajmniej przed tymi początkującymi nie znającymi PHP - kodując stopkę w taki właśnie sposób. Nie każdego maluczkiego projektanta czy programistę stać na kupienie Zend Guard'a czy temu podobne produkty, więc ratują się takimi prostszymi metodami jak base64.

Ponadto sam kiedyś używałem tego samego przy wykonywaniu skryptów PHP przesyłanych metodą POST z innego serwera (upewniając się tylko wcześniej, że kod nie jest uszkodzony lub niepełny i takie tam).

 

To tak jak byś napisał, że broń palna wykorzystywana jest tylko i wyłącznie do zabijania - a to nieprawda, nie tylko i wyłącznie.

 

 

(...) Tylko ESET się nabiera (...)

 

Na obecną chwilę. Ale przed ostatnią aktualizacją bazy wirusów antywirus znajomego (nie ESET) też się nabierał. Teraz po ostatniej aktualizacji przestał.

 

Rozpocząłem temat, bo nie zaczęło się to ani dziś ani wczoraj, ale już wiele dni trwało i jak wspomniałem, w przypadku co najmniej dwóch różnych antywirusów.

Edytowano Wrzesień 24, 2012 przez Piotr GRD (zobacz historię edycji)