php - recuperar - limpiar wordpress infectado
Sitio web pirateado, cómo eliminar código malicioso con SED/GREP (3)
un sitio web mío está pirateado. En cada archivo php se agrega una línea de código. No publicaré el código completo aquí, pero comienza con:
<?php if(!isset($GLOBALS["/x61/156/x75/156/x61"])) { $ua=strtolower($_SERVER["/x48/124/x54/120/x5f/125/x53/105/x52/137/x41/107/x45/116/x54"]); if ((! strstr($ua,"/x6d/163/x69/145")) and (! strstr($ua,"/x72/166/x3a/61/x31"))) $GLOBALS["/x61/156/x75/156/x61"]=1; } ?><?php $yudqgxmnlr =
y termina con:
$gzagexgpdc=substr($yudqgxmnlr,(34129-24016),(83-71)); $gzagexgpdc($xarchajboj, $ukumkvvgai, NULL); $gzagexgpdc=$ukumkvvgai; $gzagexgpdc=(759-638); $yudqgxmnlr=$gzagexgpdc-1; ?>
He intentado encontrar y reemplazar con algunos comandos ssh, pero parece que no funciona. (Leer: mi falta de conocimiento ssh se interpone en el camino).
Este es mi último intento:
sed -i ''<?php if(!isset*gzagexgpdc-1; ?>//g’ *.php
¿Alguien puede ayudarme?
Necesita agregar s/ al inicio.
sed ''s/<?php if(/!isset.*gzagexgpdc-1; ?>//g'' *.php
O
sed -r ''s/</?php if/(!isset.*gzagexgpdc-1; /?>//g'' *.php
Agregue el parámetro -i para guardar los cambios realizados.
Puede intentar esto: https://github.com/daniyalahmadk/RMCI
Solo tiene que poner ese código en la casilla y presionar enviar, buscará el código de los archivos y los eliminará todos una vez.
Esto debería funcionar.
find . -name "*.php" -print0 | xargs -0 sed -ri ''1s/^</?php if/(!isset/(/$GLOBALS/[.*-1; /?>//'' *.php