Возможный дубликат:
Мой сервер был взломан в АВАРИИ
У меня появился новый клиент, чей сайт выглядит так, как будто его взломали. Он работает под управлением Drupal, и я запустил на нем Hacked, чтобы убедиться, что файловая структура не изменилась. Могу добавить модуль Paranoia, но уже поздно.
К сожалению, сайт был разработан с большим количеством PHP-кода, вставленного непосредственно в узлы, поэтому много пользовательского кода находится в базе данных. Все это выполняется через eval ().
Я хотел бы знать, как быстро выполнить поиск в базе данных, чтобы определить, есть ли вредоносный PHP или Javascript, который мне нужно очистить, прежде чем переносить сайт в более безопасную среду.
Я могу искать "", чтобы искать это.
Приветствуются любые мысли или лучшие практики.
Чтобы скрыть исходный код, наиболее распространенный метод, который используют хакеры, - это кодировать его с помощью base64 а затем используйте base64_decode и eval() функция для выполнения кода во время выполнения.
Итак, я предлагаю вам сбросить свою базу данных в виде текста, используя mysqldump, затем найдите base64 строка.