Man*_*023 0 ubuntu php replace
我有一个网站,其中一些代码被注入到大量的 php 文件中,由于文件数量的原因,手动删除它们是不可行的。
我可以从所有文件中注入的代码中搜索变量名称,它为我提供了受影响的列表,但我无法将实际代码放入搜索中,因为它包含双引号、单引号和所有类型的字符.
这是我用于搜索的内容:
grep -Ril "ljdcvhg" '路径到站点文件夹'
有没有办法搜索整个php函数/注入的代码并删除?请注意,我对 linux 很陌生。
我打算把黑客代码放在这里,但我不确定这是否允许。
任何帮助表示赞赏。
作为一个基于 PHP 的前端被破坏的人,将代码注入其中,并尝试自己清理注入的代码(在从框架的干净 tarball 和我所做的修改中恢复站点之后),请允许我提供一些现实世界的专业知识和答案:解决这个问题的唯一真正答案是重新开始。试图清理代码将非常困难。它很可能无处不在,你不会找到所有的。您的系统也很可能受到威胁,不仅是 PHP,而且核心系统本身也可能运行恶意软件,通过注入和混淆的代码下载。
久经考验的解决方案,在此类情况下也被普遍接受为唯一明智的选择,是从轨道*核对它并从干净的备份(或版本控制的代码)重新开始。不仅仅是站点代码,还有服务器本身。注入 PHP 站点的代码可以运行任何东西,从简单的端口扫描到操作系统本身上的完整恶意软件安装,再到 rootkit。因此,重新开始,通过擦除它所在的服务器,核对站点代码库,然后从干净的版本控制代码或您拥有的最后一个干净备份中恢复。
(TL;DR,不要尝试删除所有注入的代码,只需在干净的服务器上重新开始并从备份或版本控制的存储库数据中恢复)
请注意,我还在私人实验室中破坏了我自己的站点,并证明混淆代码可用于将恶意软件下载到主机服务器和访问受感染服务器的客户端......这就是为什么你应该破坏环境并开始从干净的备份中结束。然后,随后修补用于在站点上注入代码的漏洞。
* 如果你不知道这是什么意思,“从轨道上核弹”是一个口语术语,基本上意味着关闭站点,关闭服务器,并擦除整个硬盘驱动器并从全新安装的服务器重新开始和站点代码库。