Linux命令行:编辑被黑客攻击的索引文件

时间:2011-04-21 22:05:33

标签: linux security command-line plesk

我很遗憾再一次在Linux Plesk服务器上处理被黑网站。虽然问题已经解决,FTP访问已经改变(它取决于PC上着名的Filezilla FTP代码黑客攻击)我很高兴知道如何编辑文件,因为它可能需要一个多小时才能将网站恢复到最新的备份我们有,我很乐意让它更快恢复在线。 黑客很简单:在网站中的许多索引*(看起来只有index.php)文件中插入了一个javascript代码。 我正在寻找一种批量编辑被黑客文件的方法,知道即使目标javascript代码是相同的,也可以从许多可能也被黑客攻击的网站调用它。因此,虽然我的合法索引文件曾经以

开头
<?php

它现在开始像

<script type="text/javascript" src="http://(RANDOMDOMAINHERE)/facebook.php"></script><?php

由于该链包含一个变量,你能帮我找到一个可靠的方法来编辑所有已更改的索引文件(大约找到80个)吗? 我之前使用过SED替换,但这次替换链的部分变化,所以我可以使用通配符吗? 最诚挚的问候,谢谢你的光芒!

3 个答案:

答案 0 :(得分:3)

find -name 'index.php' -print0 |
    xargs -0 sed -i '1s#^<script type="text/javascript" src="http://.*\?/facebook.php"></script>##g'

应该做奇迹

sed命令:

  • 1(在第一行匹配)
  • s#pattern#replacement#g(替换模式,而不是后者为空)
  • ^必须在行首
  • 匹配
  • .*\?接受任意长度的字符序列;但是,如果可以对整个模式进行多次匹配,则只匹配最短的变体

干杯

答案 1 :(得分:1)

我真诚地希望您不要实际管理生产域名。您应该通知您的用户,解决问题,让用户回到最近没有遇到问题的备份。

没有人知道还有哪些被篡改过。

我很高兴我的VPS在其他地方!

答案 2 :(得分:-1)

在解决此问题之前,我会修复Cross side脚本利用程序,否则一切都将是徒劳的。当那样做一个简单的搜索并替换包含公共字符串的脚本块就足够了。