Identischen Schadcode entfernen mit gn2clean

gn2clean kann PHP-Tags entfernen, die bestimmte Zeichenketten enthalten. Um das Skript ausführen zu können muss man eine passende Zeichenkette auswählen, die nur in dem der Schadcode vorkommt.

image_manager__picsize_bigger_gn2clean1

Nachdem eine passende Zeichenkette gefunden wurde, sollte man diese in zwei Teilen trennen und in gn2clean.php einpflegen:

image_manager__picsize_bigger_gn2clean2

und anschliessend gn2clean.php aufrufen. Voraussetzung für eine erfolgreiche Bereinigung einer Datei: der Schadcode muss sich innerhalb von einem eigenen PHP-Tag befinden.

?php

exec('find . -type f -name "*.php"', $list);

foreach ($list as $file) {
$contents = file_get_contents($file);
if (strpos($contents, 'x782f20'.'QUUI7jsv') !== false) {

echo 'INFIZIERT: ';
$contents = preg_replace("/\<\?php.*x782f2"."0QUUI7jsv.*\?\>/", '', $contents);
$oldSha = sha1_file($file);
file_put_contents($file, $contents);
$newSha = sha1_file($file);
echo basename($file).' - ['.$oldSha.']......PATCHING..... - ['.$newSha.']'."\n";
}
}

?

 

 

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.