我们网站的一些用户在访问该网站时开始收到“木马威胁”的报告。听到这个后,我搜索了恶意软件代码,但无法在任何地方找到它。
我安装了 Sucuci SiteCheck 插件,它报告了以下内容:
http://sitecheck.sucuri.net/scanner/?&scan=http://www.londonirishcentre.org
有人知道如何找到流氓代码吗?我知道全新的 WP 安装会是最好的,但该网站已经完成了很多自定义工作,我宁愿将其留给最后一个选项。
任何帮助将不胜感激。
问问题
267 次
2 回答
0
我在下面为另一个最近的stackoverflow问题创建了这个函数,你需要找到一个受感染的php文件,在顶部或底部你会看到一个经过评估的base_64编码字符串(它很可能在每个文件中都不同,所以寻找特定的字符串不会工作)但是使用这个函数,如果它是我怀疑的注入字符串,它将循环整个项目并删除受感染的代码:
<?php
error_reporting(E_ALL);
//A Regex to match the infection string
$find='<\?php @error_reporting\(0\); if \(!isset\((.*?)\?>';
//Do It!
echo cleanMalware('./',$find);
function cleanMalware($path,$find){
$return='';
ob_start();
if ($handle = opendir($path)) {
while (false !== ($file = readdir($handle))) {
if ($file != "." && $file != "..") {
if(is_dir($path.'/'.$file)){
$sub=cleanMalware($path.'/'.$file,$find);
if(isset($sub)){
echo $sub.PHP_EOL;
}
}else{
$ext=substr(strtolower($file),-3);
if($ext=='php'){
$filesource=file_get_contents($path.'/'.$file);
//The cleaning bit
echo "The infection was found in the file '$path/$file and has been removed from the source file.<br>";
$clean_source = preg_replace('#'.$find.'#','',$filesource);
// $clean_source = str_replace($find,'',$filesource);
file_put_contents($path.'/'.$file,$clean_source);
}else{
continue;
}
}
}
}
closedir($handle);
}
$return = ob_get_contents();
ob_end_clean();
return $return;
}
?>
祝你好运
于 2012-05-10T14:15:09.023 回答
0
在整个代码库中搜索:iframe, eval,base64_decode
可能有很多受感染的区域,但最有可能是模板文件夹或 index.php
如果您无法搜索并删除您需要从头开始安装新实例的所有区域。
于 2012-05-10T14:04:20.060 回答