私たちの Web サイトの一部のユーザーは、サイトにアクセスしたときに「トロイの木馬の脅威」の報告を受け始めています。これを聞いた後、マルウェア コードを検索しましたが、どこにも見つかりません。
Sucuci SiteCheck プラグインをインストールしたところ、次のように報告されました。
http://sitecheck.sucuri.net/scanner/?&scan=http://www.londonirishcentre.org
不正なコードを見つける方法を知っている人はいますか? WP の新規インストールが最適であることはわかっていますが、サイトには非常に多くのカスタム作業が行われているため、それは最後のオプションに任せたいと思います。
どんな助けでも大歓迎です。
iframeコードベース全体で: 、、evalを検索しますbase64_decode
感染した領域は多数ある可能性がありますが、ほとんどの場合、templatesフォルダーまたはindex.phpです。
すべての領域を検索して削除できない場合は、新しいインスタンスを最初からインストールする必要があります。
別の最近のスタックオーバーフローの質問のために以下にこの関数を作成しました。感染したphpファイルを見つける必要があり、上部または下部に、評価されたbase_64でエンコードされた文字列が表示されます(ファイルごとに異なる可能性が高いため、特定の文字列を探す必要はありません動作します) しかし、この関数を使用すると、私が推測するように挿入された文字列である場合、プロジェクト全体をループし、感染したコードを削除します。
<?php
error_reporting(E_ALL);
//A Regex to match the infection string
$find='<\?php @error_reporting\(0\); if \(!isset\((.*?)\?>';
//Do It!
echo cleanMalware('./',$find);
function cleanMalware($path,$find){
$return='';
ob_start();
if ($handle = opendir($path)) {
while (false !== ($file = readdir($handle))) {
if ($file != "." && $file != "..") {
if(is_dir($path.'/'.$file)){
$sub=cleanMalware($path.'/'.$file,$find);
if(isset($sub)){
echo $sub.PHP_EOL;
}
}else{
$ext=substr(strtolower($file),-3);
if($ext=='php'){
$filesource=file_get_contents($path.'/'.$file);
//The cleaning bit
echo "The infection was found in the file '$path/$file and has been removed from the source file.<br>";
$clean_source = preg_replace('#'.$find.'#','',$filesource);
// $clean_source = str_replace($find,'',$filesource);
file_put_contents($path.'/'.$file,$clean_source);
}else{
continue;
}
}
}
}
closedir($handle);
}
$return = ob_get_contents();
ob_end_clean();
return $return;
}
?>
幸運を