php - shell_exec - Website gehackt, wie man bösartigen Code mit SED/GREP entfernt




sed replace line in file (2)

eine meiner Websites wird gehackt. In jeder PHP-Datei wird eine Codezeile hinzugefügt. Ich werde den kompletten Code hier nicht posten, aber er beginnt mit:

<?php if(!isset($GLOBALS["\x61\156\x75\156\x61"])) { $ua=strtolower($_SERVER["\x48\124\x54\120\x5f\125\x53\105\x52\137\x41\107\x45\116\x54"]); if ((! strstr($ua,"\x6d\163\x69\145")) and (! strstr($ua,"\x72\166\x3a\61\x31"))) $GLOBALS["\x61\156\x75\156\x61"]=1; } ?><?php $yudqgxmnlr = 

und endet mit:

 $gzagexgpdc=substr($yudqgxmnlr,(34129-24016),(83-71)); $gzagexgpdc($xarchajboj, $ukumkvvgai, NULL); $gzagexgpdc=$ukumkvvgai; $gzagexgpdc=(759-638); $yudqgxmnlr=$gzagexgpdc-1; ?>

Ich habe versucht, mit einigen SSH-Befehlen zu finden und zu ersetzen, aber es scheint nicht zu funktionieren. (Lies: mein Mangel an ssh-Wissen kommt in die Quere).

Das ist mein letzter Versuch:

sed -i '<?php if(!isset*gzagexgpdc-1; ?>//g’ *.php

Kann mir jemand helfen?


Sie müssen s/ am Anfang hinzufügen.

sed 's/<?php if(\!isset.*gzagexgpdc-1; ?>//g' *.php

ODER

sed -r 's/<\?php if\(!isset.*gzagexgpdc-1; \?>//g' *.php

Fügen Sie den Parameter -i , um die vorgenommenen Änderungen zu speichern.


Sie können dies versuchen: https://github.com/daniylahmadk/RMCI

Sie müssen nur diesen Code in das Feld eingeben und auf "Senden" klicken, es wird den Code aus den Dateien suchen und sie alle einmal entfernen.







sed