Антивирус ImunifyAV обнаружил вирус в файле code.php

[timbios]

Антивирус ImunifyAV обнаружил вирус в файле ".../modules/custom_php/actions/code.php"

Подскажите, что с этим делать? Такого не было прежде. Была установлена предпоследняя версия.

[timbios]

Причем, это мальвар серверного типа.

SMW stands for Server Malware, it means that malicious code executes on the server side. CMW - malicious executes on the client’s side, e.g in the browser.

Сергей, сможете дать комментарии по этому поводу?

Содержание файла:

Код: Выделить всё

<?php
/**
 * Этот файл является частью программы "CRM Руководитель" - конструктор CRM систем для бизнеса
 * https://www.rukovoditel.net.ru/
 * 
 * CRM Руководитель - это свободное программное обеспечение, 
 * распространяемое на условиях GNU GPLv3 https://www.gnu.org/licenses/gpl-3.0.html
 * 
 * Автор и правообладатель программы: Харчишина Ольга Александровна (RU), Харчишин Сергей Васильевич (RU).
 * Государственная регистрация программы для ЭВМ: 2023664624
 * https://fips.ru/EGD/3b18c104-1db7-4f2d-83fb-2d38e1474ca3
 */

class warningException extends Exception {
  public function errorMessage() {    
    $errorMsg =  'Warning: '. $this->getMessage();
    return $errorMsg;
  }
}

switch($app_module_action)
{
    case 'validate':
       
        $php_code = $_POST['code'];
        
        set_error_handler(function($errno, $errstr, $errfile, $errline){
            if($errno === E_WARNING){
                throw new warningException($errstr . ' on line  ' . $errline);
            }     
        });
                
        if(strlen($php_code))
        {
            try
            {                                     
                eval($php_code);
            }
            catch (Error $e)
            {                
                echo json_encode('Error: ' . $e->getMessage() . ' on line ' . $e->getLine() );
                exit();
            } 
            catch (warningException $e) 
            {               
                echo json_encode($e->errorMessage() );
                exit();
            }
            finally 
            {
                restore_error_handler();
            }
        }
        
        echo json_encode(true);
        
        exit();
        
        break;
    case 'save':

        $is_folder = $_POST['is_folder']??0;
        $name = $_POST['name']??'';
        $code_id = _POST('code_id');
                        
        $sql_data = array(
            'parent_id' => (isset($_POST['parent_id']) ? $_POST['parent_id'] : 0),
            'is_active' => $_POST['is_active']??0,
            'is_folder' => $is_folder,
            'name' => $name,
            'code' => $_POST['code']??'',            
            'notes' => $_POST['notes']??'',
            'sort_order' => $_POST['sort_order'],
            
        );               

        if($code_id>0)
        {
            db_perform('app_custom_php', $sql_data, 'update', "id='" . db_input($code_id) . "'");
        }
        else
        {
            db_perform('app_custom_php', $sql_data);
            $code_id = db_insert_id();
        }
        
        if($_POST['is_crtl_s']==1)
        {       
            echo $code_id;
            exit();
        }
        else
        {
            redirect_to('custom_php/code');
        }

        break;
    case 'delete':
        $obj = db_find('app_custom_php', $_GET['id']);

        db_delete_row('app_custom_php', $_GET['id']);

        db_query("update app_custom_php set parent_id=0 where parent_id='" . _get::int('id') . "'");

        $alerts->add(sprintf(TEXT_WARN_DELETE_SUCCESS, $obj['name']), 'success');

        redirect_to('custom_php/code');
        break;
}
    

[vgrachev]

Вы в этом коде видите угрозу?)

[nruslan2]

не все коды умеют читать!

[timbios]

не все коды умеют читать!

Собственно по этому и создал тему.
Знакомый посмотрел пока здесь никто не отвечал. Говорит, все норм но смутило, что входящие POST данные ничем не защищены и можно sql инъекцию легко сделать.

[vgrachev]

не все коды умеют читать!

Собственно по этому и создал тему.
Знакомый посмотрел пока здесь никто не отвечал. Говорит, все норм но смутило, что входящие POST данные ничем не защищены и можно sql инъекцию легко сделать.

Советую на эту тему почитать

Код: Выделить всё

https://benhoyt.com/writings/dont-sanitize-do-escape/

и подобные вопросы отпадут...

[Lexxor2011]

У меня таже самая ерунда! На хостинге антивирус стал ругаться на этот файл:

~/domains/*****/modules/custom_php/actions/code.php SMW-INJ-CLOUDAV-php.bkdr.wshll-NP190-0 11.01.2024 05:04 Инфицирован

Я пока игнорирую это сообщение, но вообще странно, раньше таких проблем не было. С Нового Года началось.

[support]

В файле используется функция eval(), так как программа может выполнять собственный PHP код. Скорей всего на эту функцию eval() и ругается антивирус.