我将在 linux 主机上托管恶意软件站点。现在所有 php 文件都从以下行开始:
<?php
$md5 = "ad05c6aaf5c532ec96ad32a608566374";
$wp_salt = array( ... );
$wp_add_filter = create_function( ... );
$wp_add_filter( ... );
?>
我怎样才能用 bash/sed 之类的东西来清理它?
问问题
3972 次
6 回答
5
您应该恢复备份。
于 2011-09-05T12:21:20.310 回答
1
只是一个警告, wp_add_filter() 递归地评估编码的 php 代码,然后调用另一个经过编码和评估的脚本。这个更大的脚本不仅会在您的网站中注入恶意代码,而且似乎会收集凭据并执行其他黑客攻击。您不仅应该清理您的网站,还应该确保修复了漏洞并更改了任何可能已暴露的凭据。最后,这似乎是一个 wordpress 安全问题,但我还没有证实这一点。我在http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html上添加了一些评论,其中包括清理脚本和有关如何解码的更多信息恶意脚本。
于 2011-09-14T04:48:01.093 回答
1
FILES="*.php"
for f in $FILES
do
cat $f | grep -v 'wp_salt|wp_add_filter|wp_add_filter' > $f.clean
mv $f.clean $f
done
于 2011-09-05T12:27:41.027 回答
0
您可以使用 PHP (fopen、str_replace 和 fwrite) 来完成。不应该有任何编码问题。
于 2011-09-05T12:21:19.443 回答
0
该病毒/恶意软件似乎被称为“!SShell v. 1.0 shadow edition!” 今天感染了我的托管帐户。除了http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html上的清理程序之外,您实际上还需要发现包含 shell 文件的文件夹,该文件使黑客可以完全访问您的服务器文件,还发现“wp-thumb-creator.php”,它是执行所有 php 注入的文件。我在我的博客上发布了更多关于此的信息:http: //www.marinbezhanov.com/web-development/6/malware-alert-september-2011-sshell-v.1.0/
于 2011-09-14T13:45:47.627 回答
0
我刚刚在一个非常完整的托管帐户上遇到了这个问题,每个网络文件都充满了 php?!
我在任何地方都发现了这些家伙更清洁的代码(请参阅http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html) - 并在其中尝试过首先是最不重要的站点。
到目前为止,一切都很好。几乎准备好深入研究并利用它来尝试将其清除。
于 2011-09-09T04:19:46.120 回答