一部のコードが複数のPHPファイルに挿入されているWebサイトがありますが、ファイル数が多すぎて手動で削除できません。
すべてのファイルに挿入されたコードから変数名を検索でき、影響を受ける変数のリストが提供されますが、実際のコードには二重引用符、一重引用符、およびすべての種類の文字が含まれているため、検索に入れることはできません。
私が検索に使用するものは次のとおりです。
grep -Ril "ljdcvhg" 'サイトフォルダパス'
php関数/注入コード全体を検索して削除する方法はありますか?私はLinuxに初めて触れました。
ここにハッキングされたコードを入れようとしましたが、許可されるかどうかはわかりません。
助けてくれてありがとう。
ベストアンサー1
PHPベースのフロントエンドをハッキングした誰かがそこにコードを注入し、注入されたコードを直接整理しようとしました(後ろにフレームワークのクリーンなタールボールと私が修正したものにサイトを復元すると、実際の専門知識と回答を提供できます。この問題に対する唯一の実際の答えは、再起動することです。コードを整理するのは非常に難しいでしょう。どこにいても構いませんが、すべてを見つけることはできません。また、PHPだけでなく、コアシステム自体が注入され、難読化されたコードを通じてダウンロードされるマルウェアを実行している可能性があるため、システムが破損する可能性が高いです。
一般に、この状況で唯一の合理的なオプションと見なされる実証済みのソリューションは次のとおりです。Orbit *から削除し、クリーンなバックアップ(またはバージョン付きコード)から再起動してください。。サイトコードだけでなく、サーバー自体も同様です。 PHPサイトに挿入されたコードは、単純なポートスキャンからオペレーティングシステム自体の完全なマルウェアインストール、ルートキットまで、すべてを実行できます。そのため、再起動し、サイトがあるサーバーを消去してサイトコードベースを破壊し、クリーンなバージョン管理コードまたは最後のクリーンなバックアップから復元してください。
(TL; DR、挿入されたコードをすべて削除しようとしないでください。クリーンなサーバーで再起動し、バックアップまたはバージョン管理リポジトリデータから復元してください。)
私はまた、私たちの研究室の私のウェブサイトを破壊し、難読化されたコードを使用してホストサーバーにマルウェアをダウンロードする可能性があることを示しました。そして破損したサーバーにアクセスするクライアントの場合...これが環境を破壊し、クリーンなバックアップから再起動する必要がある理由です。その後、Web サイトにコードを挿入するために使用される脆弱性がパッチされます。
*これが何を意味するのかわからない場合は、「軌道から核を取り除く」という語句で、基本的にサイトをシャットダウンし、サーバーをシャットダウンし、ハードドライブ全体を消去し、サーバーを新しくインストールすることから始めます。そしてウェブサイトのコードベース。