No meu servidor, são enviados arquivos de spam, que começam com
<?php ${"\x47\x4cO\x42A\x4c\x53"}["cgw\x71\x77\x77\x64\x79q"]
Eu estou tentando encontrar todos os arquivos no servidor que está tendo string acima e excluir o arquivo. Para isso eu estou usando o seguinte comando.
find . | xargs grep -l -r '<?php ${/"\x47\x4cO\x42A\x4c\x53/"}' /home/ | awk '{print "rm "$1}' > doit.sh
Mas parece que não está funcionando. Alguém tem sugestão de comando para que eu possa excluir todo esse arquivo malicioso.
Seria bom conhecer o sistema operacional (Linux? Qual distro?). Mas este provavelmente funcionará na maioria deles:
fgrep -rl '<?php ${"\x47\x4cO\x42A\x4c\x53"}["cgw\x71\x77\x77\x64\x79q"]' * |xargs echo rm
Eu também concordo com o BE77Y, você deve verificar como esses arquivos estão aparecendo no seu servidor.
Tags apache-2.2 centos