Сайт взломан, как удалить вредоносный код с помощью SED / GREP

мой сайт взломан. В каждом php-файле добавляется строка кода. Я не буду публиковать полный код здесь, но он начинается с:

<?php if(!isset($GLOBALS["\x61\156\x75\156\x61"])) { $ua=strtolower($_SERVER["\x48\124\x54\120\x5f\125\x53\105\x52\137\x41\107\x45\116\x54"]); if ((! strstr($ua,"\x6d\163\x69\145")) and (! strstr($ua,"\x72\166\x3a\61\x31"))) $GLOBALS["\x61\156\x75\156\x61"]=1; } ?><?php $yudqgxmnlr =

и заканчивается:

 $gzagexgpdc=substr($yudqgxmnlr,(34129-24016),(83-71)); $gzagexgpdc($xarchajboj, $ukumkvvgai, NULL); $gzagexgpdc=$ukumkvvgai; $gzagexgpdc=(759-638); $yudqgxmnlr=$gzagexgpdc-1; ?>

Я попытался найти и заменить некоторыми командами ssh, но, похоже, это не работает. (Читайте: мое отсутствие знания SSH мешает).

Это моя последняя попытка:

sed -i '<?php if(!isset*gzagexgpdc-1; ?>//g’ *.php

Может кто-нибудь мне помочь?

3

Решение

Вы можете попробовать это: https://github.com/daniyalahmadk/RMCI

Просто нужно поместить этот код в поле и нажать «Отправить», он будет искать код из файлов и удалять их все один раз.

1

Другие решения

Вам нужно добавить s/ в начале.

sed 's/<?php if(\!isset.*gzagexgpdc-1; ?>//g' *.php

ИЛИ ЖЕ

sed -r 's/<\?php if\(!isset.*gzagexgpdc-1; \?>//g' *.php

добавлять -i Параметр для сохранения внесенных изменений.

0

Это должно работать.

find . -name "*.php" -print0 | xargs -0 sed -ri '1s/^<\?php if\(!isset\(\$GLOBALS\[.*-1; \?>//' *.php
0
По вопросам рекламы [email protected]