Használhatod ezt a két hasznos kis perl scriptet: [link]
A hack-search.pl segít megtalálni a PHP fájlokba injektált kártékony kódot, a find_and_replace.pl pedig segít eltávolítani ezeket. Persze ehhez szükséges shell hozzáférés a szerverhez és a futtatáshoz kell lennie telepített perl-nek is.
Abba a mappába pakold, amelyiket ellenőrizni akarod (például a weboldalad document root-ja), adj a fájlodnak futtatási jogosultságot (chmod +x) és indítsd el: perl hack-search.pl
A folyamat végén kapni fogsz egy listát a gyanús fájlokról. Ez nem mind fertőzött, de ad egy nagyon jó alapot az induláshoz. Az imént tisztítottam vele egy szervert és a következő dolgok váltak gyanússá:
/home/ugyfel/public_html/wp-content/themes/Mortar/cache/dc8e1cb5bf0392f054e59734fa15469b.php
/home/ugyfel/public_html/include.php
Ez egy Wordpress oldal. A Wordpress core fájlok között nincs include.php a gyökérben. Ezt megnyitva már rögtön lehetett is látni, hogy itt valami turpisság van. A cache mappába a timthumb cachelt képei kerülnek. Akkor mit keres ott 4-5 PHP fájl? Hát persze, feltöltött shell, meg fájlkezelő meg minden anyám kínja. Természetesen mindez kódolt formában. Töröltem őket a régi és sebezhetőségekkel teli timthumb-el egyetemben. Probléma megoldva.
Fertőzött Joomla oldal esetén a következő eszköz lehet nagyon hasznos: Joomla Anti Malware Scan Script