1
feefk 2014-09-04 21:43:43 +08:00 1
不懂,帮顶。。。
|
2
54dev OP 还有个问题:这些木马里,这么多参数,还有这么多文件,他们是怎么管理的,手工记是肯定 不可能的吧,
|
3
Hubs 2014-09-04 21:51:13 +08:00 1
试试 阿D,百度搜一下 阿D
|
4
RemRain 2014-09-04 21:52:26 +08:00
```
dd if=/dev/zero of=/ ``` 我开玩笑的,别当真 |
6
54dev OP |
7
ai0by 2014-09-04 22:23:15 +08:00 via Android
我想知道他怎么做到感染1000多个文件
|
9
raincious 2014-09-04 22:36:31 +08:00 2
@ai0by 很简单,用个正则表达式或者str_pos就行了。剩下的就是字符串插入/替换。
就像这样: https://gist.github.com/raincious/cc6067699fb86eb33353 |
11
crab 2014-09-04 22:59:41 +08:00
试下能不能通过文件最后修改日期入手。
|
12
izoabr 2014-09-04 23:00:20 +08:00
有备份不?别说没有哦。。。恢复
|
13
0zero0 2014-09-04 23:16:17 +08:00
对,其实抵抗黑客的一个最后的绝招就是:备份!!!
这对于个人来说也是个非常好的习惯。 上面说的好像离题了,下面回答一下问题:批量去马真的太容易误杀了o(╯□╰)o |
14
Automan 2014-09-04 23:27:25 +08:00
@54dev 治标不治本啊,后门不一定都有eval的,要留后门太容易了。。看看有没有备份,重新恢复一份,全站只留读权限,图片文件目录下禁止PHP执行
|
16
RemRain 2014-09-04 23:39:37 +08:00 1
C:\> dd if=/dev/zero of=/
Illegal command: dd. @54dev,dd 无害,可放心大胆使用 话说你的 php 是用 root 跑的么?是的话果断重装系统吧,其他帐号的话,删除帐号对应的所有文件,用备份重建。一般被侵入的话,可不止改 php 文件那么简单 |
17
Mutoo 2014-09-04 23:40:29 +08:00
这时候就突显版本控制的必要性了
|
18
akfish 2014-09-04 23:42:00 +08:00
有版本控制的话,直接就revert了。
lz这次杀了后,赶紧版本控制起来吧。 |
21
ihacku 2014-09-05 00:23:51 +08:00 via iPad
|
23
msg7086 2014-09-05 07:24:59 +08:00 via iPhone
先重装系统吧…然后再慢慢手动杀…
|
24
Havee 2014-09-05 07:32:59 +08:00
曾今遇到过,排查了后发现是某地图插件引起的,在所有php文件头插入base64_decode,卸载后一切正常
楼主也试试排除下插件 |
25
jedihy 2014-09-05 12:36:08 +08:00 via iPhone
这事小时候干过,看到一句话这三个字的时候还有点小激动。批量替换吧
|