پاسخ : تروجان kryptik
در اولین قدم باید مشخص بشه که اینجکت کدهای تروجان از چه طریقی انجام شده. این موضوع نیاز به بررسی لاگهای دسترسی هاستتون داره. اگه مدیر سرور به شما کمک نکنه در این مورد کار خیلی سخت میشه. چون اگر دسترسی از طریق ftp بوده باشه دایره مشکل وسیعتر میشه و از محدوده هاست و اسکریپتهای سایتتون فراتر میره و مربوط میشه به امنیت سیستم های شخصی مورد استفاده شما یا سرورهای اختصاصی مجازی خارجی که برای اتصال به هاستتون استفاده می کنین. بهتره اول از مدیر سرور بخواین لاگهای ftp رو حتما بررسی کنن.
اگر که تروجان اینجکت شده تروجان JS/Kryptik باشه و طراحی کد اینجکت شده توسط هکرها تغییر داده نشده باشه، شناسایی اسکریپتهای آلوده از طریق اجرای دستور زیر در شاخه روت سایت توسط مدیر سرور قابل شناسایی هست:
این دستور اسکریپتهای php آلوده شده رو در ترمینال سرور لیست میکنه. در صورت وجود اسکرپیتهای آلوده مدیر سرور میتونه اسکریپتها رو از طریق دستور زیر پاکسازی کنه:کد:grep -rIs --include=*.php sRetry -l .
البته قبلش مدیر سرور باید کد اینجکت شده رو بررسی کنه و در صورت نیاز دستور بالا رو اصلاح کنه ولی در ۹۰ درصد مواقع دستورات بالا برای شناسایی و پاکسازی کافی هست.کد:grep -rIsl --include=*.php sRetry . | awk -v q="'" '{print "perl -i.infected -pe " q "undef $/; s/if \\(\\!isset\\(\\$sRetry\\)\\).*?curl_close\\(\\$stCurlHandle\\)\\;.*?\\?\\>/?\\>/ms" q " " q $0 q }'
پاسخ با نقل قول