可能重复:
我的服务器被黑了 紧急求助
您好,我的整个网站可能被 WordPress 漏洞攻击了,我急于详细解释,但请帮我一个忙,看看以下网站:
其中某处写道:
现在,您必须输入以下内容才能进入包含 html/php 文件和所有安装的文件夹(之后请不要忘记按回车键):
光盘 HTML
您几乎已经清理了您的网站。必须将以下代码复制粘贴到 PUTTY 窗口中:
查找 . -type f -name "*.php" -exec sed -i '/base64_decode/d' {} \;
要粘贴到 PUTTY 窗口,只需在要插入代码的地方单击右键即可。(此处的代码会搜索所有 php 文件中的 base64_decode 标签,如果找到,则会将其与整个恶意软件代码一起删除。这将检查您之前访问过的文件和文件夹下的所有文件和文件夹,在本例中是“html”文件夹,它是文件的根目录)
有人能告诉我这个人的解释是否正确吗?
find . -type f -name "*.php" -exec sed -i '/base64_decode/d' {} \;
上述命令安全吗?它会编辑受感染的文件还是直接将它们全部删除?
谢谢大家的回复。
更新:不幸的是,该命令删除了 base64_encode 行所在的整行。问题是,该行还包含<?php文件的开始标记!所以现在,我的所有 index.php 页面(只有 index.php 被感染)都显示所有代码,而不是执行它 :( 是否可以运行另一个命令,<?php在每个不以“任意数量的空格<?php”开头的 index.php 中添加标记?
更新 2:感谢所有回答的人。也祝贺所有因为在恐慌模式下没有采取适当行动而投票反对某人的人。如果您的网站也遇到这种情况,祝您好运……
答案1
大家到底怎么了?“我的整个网站都被黑了”= 从 orbit 中删除它并从备份中恢复。
如果您确实想要,请保留一份备份并调查它们如何进入的证据以及如何防止同样的事情再次发生。不要在机器上运行任何东西;尽快将其脱机。
答案2
现在太晚了,但考虑在将来使用 sed 的 -i 的可选备份扩展:sed -i.bak ...以 .bak 作为扩展名保存备份文件。
话虽如此,我认为这可能就是你现在所需要的:
sed -i.bak '1s/^[ \t]*..php//g; 1s/^/<?php /' file.php
<?php如果存在,则首先删除,然后插入<?php。它在功能上应等同于仅当不存在时才插入。