我正在尋找類似php腳本的東西來運行我的網站來清理損壞的文件。腳本來清理黑客入侵的網站
我找到了3種不同的腐敗形式: PHP文件:有一個iframe線之前一個 .js文件:對每個文件 的第一線的iframe線的每個文件夾有一個如default.php文件其中只包含一行echo(decodeBase64(...))
因此,我知道如何查找/清除惡意軟件,然後我可以編寫一個腳本來讀取/寫入我的服務器上的文件以清除它。
但是這需要幾個小時......那麼是否已經存在類似的東西?
(ps:被託管在GoDaddy上,並沒有考慮因爲低價而mo 012, 雖然我知道我們需要修補這些安全漏洞,但我也不是專業的安全專家一些臨時解決方案現在)
它不應該需要幾個小時,我寫了一個非常非常非常簡單的腳本在幾分鐘內,你可以手動調整,以滿足您的需求。
這就是:
$realPath = realpath('path/to/your/wp/installation');
// The needle is the string that you want to look for in your files
// gzinflate is pretty common, also try to look for preg_replace or eval,
// but those instructions are commonly used in WP, so you'll have a bunch of
// false positives.
//
// As far as js files, you might want to also look for document.writes because
// that's how worms insert iframes into your websites.
$needle = "/gzinflate/";
$di = new RecursiveDirectoryIterator($realPath);
foreach (new RecursiveIteratorIterator($di) as $filename => $file) {
$haystack = file_get_contents($filename);
if(preg_match_all($needle, $haystack, $matches)) {
// Outputs suspicious file, not necessarily infected.
echo $filename;
echo "\n";
}
不錯的例子! +1 –
'grep -r gzinflate/path/to/your/wp/installation'。 – Gumbo
@Gumbo只有在OP有ssh訪問Web服務器的情況下才能工作,因爲他提到了GoDaddy和Cheap(lol)這兩個詞,所以他不太可能,因此grep不是一種選擇。 – ILikeTacos
我看到你提到你知道如何尋找的惡意軟件,但是這是足夠重要,我想呼籲關注它。
通過攻擊者用來訪問的某種方式將惡意代碼發送到您的網站。它可能是是惡意軟件,但它也可能是任何其他安全問題。如果你不能解決你的其他安全問題,那麼刪除這些代碼就不會有好處。下面是一些常見的東西來檢查:
您可能希望與Wapiti或W3af掃描你的服務器,以及識別常見的漏洞(如SQL注入)攻擊者可能會用來危害您的應用程序。
然後使用AlanChavez的建議清理受感染的代碼。
感謝您的回答, 我會檢查所有,但我正在尋找腳本經常運行(每天一次)以刪除注入的代碼/文件...(這樣谷歌的掃描將不會將我們視爲惡意軟件) –
@LudovicMigneault不客氣。一般來說,如果您通過Wapiti或W3af的掃描,那麼您也很可能會通過Google的掃描。希望可以幫助 –
每天清除一次即時症狀,但讓感染了服務器的服務器上網攻擊他人是非常不負責任的行爲。要添加到Ben的列表中,請確保所有已訪問服務器的計算機都使用多個惡意軟件掃描程序清理,並使用操作系統和應用程序修補程序進行更新,然後更改帳戶密碼。此時此類感染的最常見來源是網絡漏洞攻擊,它會危及客戶端並從中竊取密碼。 – bobince
你有備份嗎?這是唯一的方法,你可以確定歹徒沒有安裝額外的文件,讓他們再次回來。 – andrewsi