我會得到託管在Linux主機上的mallwared網站。所有的PHP文件現在都從行開始:從病毒清理PHP文件
<?php
$md5 = "ad05c6aaf5c532ec96ad32a608566374";
$wp_salt = array(...);
$wp_add_filter = create_function(...);
$wp_add_filter( ...);
?>
我該如何清理它的bash/sed或其他?
你可以用PHP(fopen,str_replace和fwrite)來完成。不應該有任何編碼問題。
不錯,感謝您的幫助 –
FILES="*.php"
for f in $FILES
do
cat $f | grep -v 'wp_salt|wp_add_filter|wp_add_filter' > $f.clean
mv $f.clean $f
done
這不會軟管任何WordPress核心文件? –
不確定,但我想他們不包含任何這些:wp_salt,wp_add_filter,wp_add_filter – bpgergo
是的,幾乎是我用於清理的相同的東西 –
我剛剛在一個非常完整的託管帳戶,每個網站文件充滿PHP?
大量挖掘和後期閱讀無處不在我遇到這個傢伙更乾淨的代碼(見http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html) - 並試圖在一些最不重要的網站上。
到目前爲止這麼好。幾乎準備好挖掘並利用它帳戶廣泛嘗試擦拭此權利。
只是一個警告,wp_add_filter()遞歸地評估編碼的php代碼,然後調用另一個編碼和評估的腳本。這個較大的腳本不僅會在整個站點注入惡意代碼,還會收集憑據並執行其他黑客行爲。您不僅應該清理您的網站,還要確保該缺陷已修復,並且可能已經暴露的任何憑據都會更改。最後,這似乎是一個WordPress的安全問題,但我沒有證實這一點。我在http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html上添加了一些評論,其中包括一個清理腳本和更多關於如何解碼惡意腳本的信息。
病毒/惡意軟件似乎被稱爲「!SShell v。1.0影子版!」並且今天感染了我的託管帳戶。在http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html的清潔程序中,您實際上需要發現包含shell文件的文件夾,它使黑客可以完全訪問服務器文件,並且還可以發現「wp-thumb-creator.php」,它是執行所有php注入的文件。我已經發布了更多關於這個@我的博客:http://www.marinbezhanov.com/web-development/6/malware-alert-september-2011-sshell-v.1.0/
如果可以,您應該開始乾淨。我最近嘗試清理一個4x網站(osCommerce),結果沒有任何意義。如果您沒有選擇,請記下看起來已添加的所有行,檢查訪問日誌,並盡力找到任何可疑腳本或甚至已添加的可執行文件以打入您的網站。 –
您能否告訴我們哪個託管公司會自動預先安裝php代碼? (所以我們可以避免託管公司)。我寧願你的網站被黑客入侵。 – ajreal
我剛剛被同樣的事情擊中。請注意,每個文件的md5行都不相同。 – Rytis