【问题标题】:Website hacked, how to remove malicious code with SED / GREP网站被黑,如何使用 SED / GREP 删除恶意代码
【发布时间】:2015-11-27 20:58:13
【问题描述】:

我的一个网站被黑了。在每个 php 文件中添加一行代码。我不会在这里发布完整的代码,但它的开头是:

<?php if(!isset($GLOBALS["\x61\156\x75\156\x61"])) { $ua=strtolower($_SERVER["\x48\124\x54\120\x5f\125\x53\105\x52\137\x41\107\x45\116\x54"]); if ((! strstr($ua,"\x6d\163\x69\145")) and (! strstr($ua,"\x72\166\x3a\61\x31"))) $GLOBALS["\x61\156\x75\156\x61"]=1; } ?><?php $yudqgxmnlr = 

并以:

结尾
 $gzagexgpdc=substr($yudqgxmnlr,(34129-24016),(83-71)); $gzagexgpdc($xarchajboj, $ukumkvvgai, NULL); $gzagexgpdc=$ukumkvvgai; $gzagexgpdc=(759-638); $yudqgxmnlr=$gzagexgpdc-1; ?>

我已尝试查找并替换为一些 ssh 命令,但它似乎不起作用。 (阅读:我缺乏 ssh 知识妨碍了我)。

这是我最近的尝试:

sed -i '<?php if(!isset*gzagexgpdc-1; ?>//g’ *.php

谁能帮帮我?

【问题讨论】:

标签: php ssh sed


【解决方案1】:

你可以试试这个:https://github.com/daniyalahmadk/RMCI

只需将该代码放入框中并点击提交,它将从文件中搜索代码并将它们全部删除。

【讨论】:

    【解决方案2】:

    您需要在开头添加s/

    sed 's/<?php if(\!isset.*gzagexgpdc-1; ?>//g' *.php
    

    sed -r 's/<\?php if\(!isset.*gzagexgpdc-1; \?>//g' *.php
    

    添加-i 参数以保存所做的更改。

    【讨论】:

    • 感谢您的回答。我在一个子目录上尝试过,发现这些文件以不同的代码结尾,所以我尝试了: sed -i 's///g' *.php 但是这没用...我错过了什么吗?
    • 没有工作如何(删除太多或不够,比如不是所有的行,或者什么都没有......)?
    • 未删除任何内容,但文件时间戳已编辑...没有通过终端获得任何反馈
    • 删除-i 参数。 i 保存对该文件所做的更改。它不会在终端中显示输出。
    • Avinash Raj 是什么意思?我在没有 -i 的情况下尝试过,但它只显示所有文件内容?
    【解决方案3】:

    这应该可行。

    find . -name "*.php" -print0 | xargs -0 sed -ri '1s/^<\?php if\(!isset\(\$GLOBALS\[.*-1; \?>//' *.php
    

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2017-02-12
      • 2020-08-26
      • 2016-02-16
      • 2013-09-09
      • 1970-01-01
      • 2018-04-22
      • 1970-01-01
      相关资源
      最近更新 更多