나는 grep 및 ssh 액세스를 사용하여 문제를 발견하고 제거합니다. 내 파일을 다시 작성하는 임베디드 스크립트 대신 PHP 코드가 사이트 어딘가에 입력 양식에 의해 실행되고있을 수 있습니다. 나는 아직 확실하지 않다. 그 동안 eval (base64_decode 주입을 내 index.php 파일에 주입하는 스크립트)을 작성했는데 index.php 파일에서 eval (base64_decode ('');를 검사하고 제거하고 내 파일 구조를 5 개의 디렉토리로 검색합니다 내 사이트에 충분 깊은 수준. 나는 그것이 세트 5 분마다 cronjob에 실행해야합니다. 그것은 서버에서 모든 집약적하지 않는 것 같다. 당신은 비슷한 문제가있는 경우
<?php
$level=5;
function get_sorted($path)
{
//$ignore = array('.',"'","error_log");
$dh = @opendir($path);
while ($file = @readdir($dh))
{
if (!strstr($file,'.')&&!strstr($file,"'")&&!strstr($file,"error_log")&&!strstr($file,"README")&&!strstr($file,"cookietxt")&&$file!='.'&&$file!='..')
{
$directories[] = $file;
}
else
{
if ($file!='.'&&$file!='..')
{
$files[] = $file;
}
}
}
$array = array($directories,$files);
return $array;
}
function clean_files($files, $path)
{
//echo 1;exit;
if ($files)
{
foreach($files as $key=>$val)
{
//echo $val;
if ($val == 'index.php')
{
//echo 1; exit;
//fopen .htacess
$targetFile = "$path/$val";
echo "Checking: $targetFile <br>";
$handle1 = fopen($targetFile, 'r');
$data = @fread($handle1,filesize($targetFile));
fclose($handle1);
$string = preg_match('/eval.base64_decode(.*?)\;/', $data, $matches);
$string = $matches[0];
if ($string)
{
echo "MALWARE FOUND IN $targetFile ! ... rewriting!<br>";
$data = str_replace($string,'', $data);
$handle1 = fopen($targetFile, 'w');
fwrite($handle1, $data);
fclose($handle1);
//exit;
}
unset($string);
unset($data);
}
}
}
else
{
echo "<br>No files discovered in $path<br>";
}
}
//clean first level
$array = get_sorted('.');
$directories = $array[0];
$files = $array[1];
clean_files($files,'.');
//get second level & clean
foreach ($directories as $key=>$val)
{
$p_1 = "./$val";
$a_1 = get_sorted($val);
$d_1 = $a_1[0];
$f_1 = $a_1[1];
//echo $val;
//print_r($d_1);
//echo "<hr>";
clean_files($f_1, "{$p_1}");
//check and clean level 2
if ($d_1)
{
foreach ($d_1 as $k_1=>$v_1)
{
//echo $v_1;exit;
$p_2 = $p_1.'/'.$v_1;
$a_2 = get_sorted($p_2);
$d_2 = $a_2[0];
$f_2 = $a_2[1];
clean_files($f_2, $p_2);
if ($d_2)
{
//check and clean level 3
foreach ($d_2 as $k_2=>$v_2)
{
$p_3 = $p_2.'/'.$v_2;
//echo $p_3;
$a_3 = get_sorted($p_3);
$d_3 = $a_3[0];
$f_3 = $a_3[1];
//echo"<hr>$v_2";
//print_r($f_3);exit;
clean_files($f_3, $p_3);
//unset($
}
//check and clean level 4
if ($d_3)
{
foreach ($d_3 as $k_3=>$v_3)
{
$p_4 = $p_3.'/'.$v_3;
$a_4 = get_sorted($p_4);
$d_4 = $a_4[0];
$f_4 = $a_4[1];
clean_files($f_4, $p_4);
}
//check and clean level 5
if ($d_4&&$level==5)
{
foreach ($d_4 as $k_4=>$v_4)
{
$p_5 = $p_4.'/'.$v_4;
$a_5 = get_sorted($p_5);
$d_5 = $a_5[0];
$f_5 = $a_5[1];
clean_files($f_5, $p_5);
}
}
}
}
}
}
}
?>
은주의하시기 바랍니다 이 스크립트를 실행하려고하면 모든 eval (base64_encode 스크립트가 악성 코드이거나 index.php 파일에없는 스크립트)이 제거됩니다. 또한 preg_match 표현식을 편집하여 다른 자연 주입을 대상으로 할 수도 있습니다.이 코드를 사용하여 index가 아닌 다른 파일을 타겟팅 할 수도 있습니다 .php
최근 소식 백업? –
백도어의 내용이 아마도 "인코딩 됨"이므로 eval()을 사용하여 스크립트를 찾고 싶을 것입니다. –
서버에서 자동으로 숨겨진 스크립트인지 어떻게 알 수 있습니까? – horatio