0x.php 0xis/ l.php って知らないファイルとフォルダーがあるとか言ってる場合じゃないです。
ワードプレス無事動いてますか？

0x.php 0xis/ l.php ができているのは、最近流行りのマルウェアです。
感染して時間がたっていなければ、ファイル削除で対策できます。
ちょっと経ってしまうと、侵入したサイトにマルウェアのファイルが何度消しても復活するようになります。

消しても消しても復活するマルウェアファイルの対策

サーバーマシンのリセットしかなさそう。
つまり、プロセスに入り込んでしまったってことです。
プロセスが監視してマルウェアのファイルが改変されたり、削除されたりすると、どこかにバックアップした？ファイルを書き込んできます。
これは、マルウェアファイルを触って１秒以内に発生します。

サーバー側は、マルウェアファイルのパーミッションを００にして対応します。
００だと書き込めないし、動かないしってことでとりあえず動きは封じられるのですが・・・
それが、index.phpだったりしたら・・・代替えが効かない orz
この場合、サーバー側でマシンを再起動するか、動いている知らないプロセスを見つけて停止させてもらわないと直りません。

これサクラサーバーだとできたかも・・・まだ試していませんが、teraterm で入ってプロセスチェックして停止させればいい？
いや、エックスでも入れるからできるかも。

けど・・・プロセスのチェックのコマンド忘れた（ーー；
調べれば何とかなるけど、とりあえず、現段階では、そういうことでかなり高度な対策が必要になります。

0x.php 0xis/ l.php って知らないファイルとフォルダーは、削除します

フォルダーの中を全部FTPで探して、見つけたら地道に削除。

ですが、このマルウェアは、入った階層より上２つまでの階層に侵食します。
よって、オウルのスターサーバーのようなドメイン配下のＷＥＢサーバーフォルダーしか開放していないサーバーでは削除できません。
引っ越すしかありません。(サポートにその旨話しても理解できないようで的外れな回答が返ってきます。サポートのレベル低すぎ！ｗｗｗ）

加えてファイルが改ざんされている可能性があるので PLUGIN anti-malware をいれて走査してみてください。
about.php とか .htaccess 、index.php が改ざんされていることがあります。
できれば、目視でチェックしたいところですが、大変なので PLUGINを使いましょう。

ちなみに anti-malware では 0x.php , l.php , 0xis は見つけられませんので、そこは、どこまでも目視で。

最近流行りのマルウェア 0x.php l.php 0xis/ を消すツール

マルウェアに引っかかった！やばす！って慌てて作ったツールがあります。
なんせ昔に作ったツールなの perl で、かつ非効率で汚いソース。
でも暫定作業ってことで、もしも必要ならば、差し上げます。

perl を読めるなら改造して改造後のソースくださいｗｗｗ

ここからダウンロードしてください。
最新バージョンが上に来ています。

• malware_search_202406150341
• malware_search_0240614
• malware_search_0240501

Malware_Searchの使い方

1. ダウンロードした Malware_Search を解凍します。
2. FTPでドメイン直下にアップロードします。
3. malware_search/index.cgi のパーミッションを 0755 にします。
4. 以下のURLにアクセスします。
   

   https://YOUR DOMAIN/malware_search/index.cgi?pass=password12345679

   ※YOUR DOMAIN は、アップしたドメインです。
   

最新版のパターンを貼り付けます。

該当ファイル名へ張り付ける内容

css.php {By Yunus} {Contact =>}<br />.htaccess {<FilesMatch '^(index.php|auto_seo.php|wp-blog-header.php}{<FilesMatch '.(php|php5|suspected|py|phtml)$'>}{<FilesMatch "^(index.php|system_log.php)$">}{^(about.php}<br />toggige-arrow.jpg<br />[all] {$YNnvu}{$TVCgi}{by FOPO}{Checksum:}{By Yunus}{Fadly31337}{lh6.googleusercontent.com}{fopo.com}{https://raw.githubusercontent.com/ahmdgans/shel/main/blank.jpeg}{Monarx}<br />config1.php<br />about.php {$PXOXXOKQ}<br />.user.ini<br />.ftpquotas<br />ext=.php {@base64_decode(}{yang diinginkan}<br />* [\$.+=.+”\\x.+#CR#.+eval\(\$]<br />0x.php<br />l.php

該当ディレクトリ名へ張り付ける内容

.well-known<br />images {NULL}<br />0xis
最新版は、随時更新しますのでご利用ください。
また、新しいパターンを見つけた方はここのコメントで教えていただけると幸いです。
※お返事できませんけど、なるべく更新していきます。

malware_search をつかって上位階層の 0x.php , 0xis/ を走査します。

私自身も怖いので、いきなり走査、削除ではなく「確認のみ(削除しない）」にチェックを入れてから「cron dir list file make」で「実行」してください。
これをすると走査するフォルダーのリストを作ります。

リストが出来上がるとコマンド欄に一定数量ごとに処理を行うためのコマンドに切り替わります。

この例では、操作フォルダーが 5725 存在していることがわかります。

あとは、rest の赤文字がでなくなるまで「実行」ボタンを押し続けます。

確認ができたら「確認のみ(削除しない）」にチェックを外して、同じように操作します。
※あくまでも自己責任でお願いします。私もそれほど自信もって提供しているわけではないので。
※バグを見つけたら教えてください。m(_ _)m

malware_search のパラメータ

該当ファイル名

該当ファイル名は、以下のような書式で削除条件を指定できます。

• 確定したファイル名のファイルを削除
  ファイル名
• ファイル名の内容を検査
  ファイル名 {内容}
  

  ファイル名には以下のワイルドカードを使用できます。

  すべてのファイル : *
  すべてのファイル : [all]
  該当する拡張子を持つファイル : ext=.php
  
  

  内容に関しては正規表現を使用できます。

  {} ではなく [] でくくることで正規表現となります。（なんか、うまく動いてない感じ）
  

該当ディレクトリ名

該当ディレクトリ名は、ディレクトリ名、もしくは、その内容となります。
ディレクトリ名の後ろ1つの空白を開けて{NULL}と記述することで該当するディレクトリ名で、かつ空ならという条件になります。
更に、削除した時「親フォルダーと同じフォルダー名でmalware削除後空の場合」があり、そちらは、チェックボックスにチェックを付けることで対処します。



0x.php 0xis/ l.php って知らないファイルとフォルダーの削除

0x.php 0xis/ l.php って知らないファイルとフォルダーの削除は、malware_search を使うと楽なんですが、
・使う前に関連フォルダーを全部バックアップしてください。（何度も使って問題は出てませんが、ソースがぐちゃぐちゃでなんか自信がないので）
・使い終わったら、malware_search をフォルダーごと削除してください。


この投稿があなたのお役に立てたら幸いです。

スポンサードリンク