Очистить php файлы от вирусов - PullRequest
Новая
       7

Очистить php файлы от вирусов

3 голосов
/ 05 сентября 2011

Я получу сайт с ошибками, размещенный на хостинге Linux. Все php файлы теперь начинаются со строк: 

<?php
$md5 = "ad05c6aaf5c532ec96ad32a608566374";
$wp_salt = array( ... );
$wp_add_filter = create_function( ... );
$wp_add_filter(  ... );
?>

Как мне это исправить с помощью bash / sed или чего-то еще?

Ответы [ 6 ]

4 голосов
/ 05 сентября 2011

Вам следует восстановить резервную копию.

1 голос
/ 14 сентября 2011

Просто предупреждение, wp_add_filter () рекурсивно оценивает закодированный код php, который, в свою очередь, вызывает другой сценарий, который закодирован и оценен. Этот более крупный скрипт не только внедряет вредоносный код на ваш сайт, но и собирает учетные данные и выполняет другие действия. Вы должны не только очистить свой сайт, но и убедиться, что ошибка исправлена ​​и все учетные данные, которые могли быть выставлены, изменены. В конце концов, это проблема безопасности WordPress, но я не подтвердил это. Я добавил несколько комментариев по этому поводу в http://www.php -beginners.com / solve-wordpress-malware-script-attack-fix-fix.html , который включает в себя сценарий очистки и дополнительную информацию о том, как расшифровать вредоносный скрипт.

1 голос
/ 05 сентября 2011 
FILES="*.php"
for f in $FILES
do
  cat $f | grep -v 'wp_salt|wp_add_filter|wp_add_filter' > $f.clean
  mv $f.clean $f
done
0 голосов
/ 14 сентября 2011

Вирус / вредоносная программа, по-видимому, называется "! SShell v. 1.0 shadow edition!" и заразил мою учетную запись хостинга сегодня. Наряду с уборщиком по адресу http://www.php -beginners.com / solve-wordpress-malware-script-attack-fix.html вам действительно нужно обнаружить папку, содержащую файл оболочки, который дает хакерам полный доступ к файлам вашего сервера, а также найдите «wp-thumb-creator.php», это файл, который делает все инъекции php. Я написал больше об этом @ мой блог: http://www.marinbezhanov.com/web-development/6/malware-alert-september-2011-sshell-v.1.0/

0 голосов
/ 09 сентября 2011

Я просто ударил это по очень полной учетной записи хостинга, каждый веб-файл, полный php?!

Много копаясь и читая посты везде я наткнулся на этот чище парни (см. http://www.php -beginners.com / solve-wordpress-malware-script-attack-fix.html ) - и попробовал сначала на паре наименее важных сайтов.

Пока все хорошо. В значительной степени готов копать и использовать свой аккаунт, чтобы попытаться стереть это с лица земли.

0 голосов
/ 05 сентября 2011

Вы можете сделать это с помощью PHP (fopen, str_replace и fwrite).Не должно быть проблем с кодировкой.

...