Google大神告訴了我那的確是被木馬所植入,於是乎看到base64_decode函式之後,馬上尋找解碼的網站並且將代碼複製進去,結果大致看起來跟moodle教學論壇有關係。馬上聯想到前些時候系上網管告知我們實驗室的moodle系統一直隨意發送認證通知信之類的不正常行為,我想大概跟這個脫離不了關係了。
查了一下網路上能夠的解決方式不外乎就是刪掉那一行並且找出木馬之類的,而之前學長有提到要將我們的Webserver移到Linux系統上,所以那個木馬就不管他了,直接把所有php檔清乾淨就好!:D
開啟空白檔案,輸入以下bash script:
#!/bin/bash
find . -name '*.php*' |
(
while read -r file; do
sed "/eval(base64_decode('LOADS_OF_CHARACTER'));/d" "$file" > "temp" && mv "temp" "$file"
done
)
註:其中LOADS_OF_CHARACTER就是那一長串代碼。存成 *.sh 檔後,在要清除的php相同目錄下執行即可。
這支bash script的作用其實只是將所有php網頁中有"eval(base64_decode('LOADS_OF_CHARACTER'));"這行移除掉這樣而已,不過還頗方便的:)
--
Ubuntu 9.04
--
參考/相關網址:
1.Yahoo!ANSWERS - How do I recursively find and remove parts of PHP files?
2 comments:
well ...... 請問有說明那一串文字的作用嗎?
我蠻想知道木馬再打什麼主義 :P
那串文字解碼出來就是一個程式碼片段,就要看程式碼要做什麼了。
我是懶得看啦~ 不過大致有看到跟我們LAB的moodle系統有關。
猜可能是只要連到這些被植入的網頁後,就會發送moodle相關的垃圾郵件吧?!
我有跟角茂請益過,也有給他程式碼,可以問他可能會比較快XD
張貼留言