幾天前,我在我的服務器上發現了許多帶有惡意代碼的受感染文件(幾個wordpress,prestashop和一些php應用程序)。 我可以使用簡單的命令,但是缺乏知識SSH的方式獲取到尋找自己的解決方案...刪除惡意代碼
要搜索的感染我用find命令是這樣的:
find . -name "*.php" -type f -perm 600 -print0 | xargs -0 grep -iHlnrE 'filesman|eval.*base64_decode|PCT4BA6ODSE|globals|b374k' 2> /dev/null
大多數感染文件在第一行被修改(但它們並不完全相同)。如縮短線路:
<?php $jefknybs = 'e]53Ld]53]Kc]55Ld]55#*<%bG9}:}.}-}!#*<%nfd> (...) $jefknybs=$ypoqiutce-1; ?><?php
- 我以爲我可以結合查找和sed搜索受感染的文件並刪除惡意代碼,或更換整個1號線到
<?php
。 - 第二個想法是找到並保存受感染的文件名到
list.txt
,然後可能使用一些循環來刪除惡意代碼?
你能幫忙嗎?
如果您的服務器被感染,唯一的安全方法是安裝新的一個系統劃痕。如果它被感染過一次,只是刪除惡意代碼並不能解決任何問題,如果您不能更好地保護它,它將再次受到感染。 – Jakuje
我會盡快重新安裝它們。但我敢肯定,刪除惡意代碼是獲得所有網站的最快方法...... – Rob