Удалить внедренный код из всех файлов php в каталоге на Ubuntu [дубликат]
Исполняемый файл firefox представляет собой сценарий оболочки в вашей системе.
В некоторых приложениях используется сценарий-оболочка, который настраивает среду выполнения для приложения, возможно, для обеспечения лучшей интеграции с текущим вариантом Unix или для предоставления альтернативных способов запуска приложения (новые наборы параметров командной строки и т. ), которые само приложение не предоставляет. Иногда сценарий-оболочка используется для выбора правильного фактического двоичного файла для запуска в зависимости от того, как этот сценарий был вызван.
Например, компилятор C MPI («Интерфейс передачи сообщений») представляет собой не что иное, как скрипт-оболочку для cc (или любого другого компилятора, на использование которого он настроен), который гарантирует, что заголовки MPI находятся в путь поиска и что библиотека MPI связана при компиляции.
Взгляните на этот скрипт, чтобы увидеть, какие двоичные файлы он вызывает при каких обстоятельствах.
Как человек, у которого взломали фронт-энд на базе PHP, внедрили в него код и попытались самостоятельно очистить внедренный код (после восстановления сайта из чистого tarball фреймворка и модификаций, которые я сделал), позвольте мне дать некоторые реальные знания и ответы: единственный реальный ответ для исправления этого - начать все сначала. Попытка очистить код будет ИСКЛЮЧИТЕЛЬНО сложной. Скорее всего, он встроен повсюду, и вы не сможете найти его весь. Также вполне вероятно, что ваша система тоже скомпрометирована, не только PHP, но и сама система может иметь вредоносное программное обеспечение, загруженное через внедренный и обфусцированный код.
Проверенное и верное решение, которое также принято считать единственным разумным вариантом в подобных ситуациях, - это Nuke It From Orbit* и начать заново с чистых резервных копий (или кода с контролем версий). Не только код сайта, но и сам сервер. Код, внедренный в PHP-сайт, может быть запущен чем угодно - от простого сканирования портов до установки полноценного вредоносного ПО на саму ОС, вплоть до руткитов. Поэтому начните сначала, стерев сервер, на котором он находится, уничтожьте кодовую базу сайта и восстановите его из чистого кода с контролем версий или последней чистой резервной копии, которая у вас есть.
(TL;DR, не пытайтесь удалить весь внедренный код, просто начните заново на чистом сервере и восстановитесь из резервных копий или данных репозитория Version Controlled)
Обратите внимание, что я также взломал свой собственный сайт в частной лаборатории и доказал, что обфусцированный код может быть использован для загрузки вредоносного ПО на сервер хоста и на клиентов, посещающих зараженный сервер... вот почему вы должны уничтожить среду и начать заново с чистых резервных копий. Затем, впоследствии, залатайте дыру, которая использовалась для внедрения кода на сайт.
* Если вы не знаете, что это значит, то "Nuke it from orbit" - это разговорный термин, который в основном означает отключение сайта, выключение сервера, стирание всего жесткого диска и начало работы со свежей установки сервера и кодовой базы сайта.
. Вы можете попробовать сделать следующее:
- Получите профессиональный редактор PHP с форматированием кода, например PHPEclipse, PHP Storm или NuSphere, или даже Notepad ++ в Linux это Кейт, а в MacOS - TextMate
- . Вы можете искать все файлы по заданным строкам и удалять их
- Вы также можете снова отформатировать код (форматирование кода, включая HTML), чтобы вы могли видеть все, что там что-то запутано
- Если вы видите выделенный код, это также поможет вам, напримервсе, что не выделяется должным образом, может быть чем-то запутанным
- Вам необходимо правильно прочитать весь код
- Редактор поможет вам защитить код от дальнейшего использования.
- Вам необходимо проверить все файлы, включая изображения, если они есть не содержит кода PHP или JS в изображениях PNG или JPEG.
- Возможно, вам потребуется обновить среду выполнения PHP до чего-нибудь с последними исправлениями или даже перенести ее на более новую версию PHP7 и поддерживать ее в актуальном состоянии.
- Вы можете использовать Cloud Flare для защиты от эксплойтов.
- Вы можете подумать о другом хостинге или воссоздать учетную запись
- Иногда настройка php.ini помогает наложить ограничения и ограничения
- Если вы использовали нестандартное программное обеспечение, вы можете загрузить более новую, исправленную версию и попытаться объединить с тем, что у вас есть, так что она пропатчена
- Иногда, например в Wordpress вы можете включить автообновление
. Кроме того, ваш сервер может быть скомпрометирован, поэтому вы можете попробовать его восстановить. Например. повторно подготовьте виртуальную машину.
Вы также можете попытаться запросить помощь, загрузив веб-сайт на GitHub, который позже можно будет удалить, а затем провести рецензирование. База данных не понадобится, это точно конкурс. Было бы хорошо прочитать логи и посмотреть, как это эксплуатируется.
Взлом веб-сайта не всегда также является нарушением работы сервера. Если в PHP-коде произошла глупая ошибка, это не значит, что была использована уязвимость ядра.
Таким образом, вы должны отредактировать его в редакторе и внимательно просмотреть, а затем он будет отсортирован, и в конечном итоге его также можно исправить, а затем сохранять резервную копию каждый раз, когда вы что-то меняете.Его нельзя отсортировать с помощью команды, к тому же его нужно исправить. Это предполагает обычную работу с исходным кодом, а не с grep.