我将获得在linux主机托管的mallwared网站。所有的php文件现在从行开始:
<?php
$md5 = "ad05c6aaf5c532ec96ad32a608566374";
$wp_salt = array( ... );
$wp_add_filter = create_function( ... );
$wp_add_filter( ... );
?>
我如何使用bash / sed或其他东西清理它?
答案 0 :(得分:4)
您应该恢复备份。
答案 1 :(得分:1)
FILES="*.php"
for f in $FILES
do
cat $f | grep -v 'wp_salt|wp_add_filter|wp_add_filter' > $f.clean
mv $f.clean $f
done
答案 2 :(得分:1)
只是一个警告,wp_add_filter()以递归方式评估编码的php代码,后者又调用另一个编码和评估的脚本。这个更大的脚本不仅会在整个站点中注入恶意代码,而且似乎会收集凭据,并执行其他黑客攻击。您不仅应该清理站点,还要确保该漏洞已修复,并且可能已更改的任何凭据都已更改。最后,它似乎是一个wordpress安全问题,但我没有证实这一点。我在http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html添加了一些评论,其中包括清理脚本以及有关如何解码恶意脚本的更多信息。
答案 3 :(得分:0)
你可以用PHP(fopen,str_replace和fwrite)来做。不应该有任何编码问题。
答案 4 :(得分:0)
我刚刚在一个非常完整的托管帐户上点击这个,每个网络文件都充满了php?!
到处都是挖掘和阅读后,我遇到了这些人更清洁的代码(参见http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html) - 并首先在几个最不重要的网站上进行了尝试。
到目前为止一切顺利。非常准备好挖掘并利用帐户广泛尝试擦除此权利。
答案 5 :(得分:0)
病毒/恶意软件似乎被称为“!SShell v.1.0 shadow edition!”并且今天感染了我的主机帐户。与http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html处的清理器一起,您实际上需要发现包含shell文件的文件夹,该文件使黑客能够完全访问您的服务器文件,并且还会发现“wp-thumb-creator.php”,该文件是所有的PHP注入。我发布了更多关于此@我的博客:http://www.marinbezhanov.com/web-development/6/malware-alert-september-2011-sshell-v.1.0/