Como remover código de malware do arquivo javascript usando sed

2

Eu encontrei o seguinte padrão diferente em alguns arquivos javascript hackeados.

<!--2d3965-->  some code  <!--/2d3965-->

/*2d3965*/ some code /*/2d3965*/

Eu posso remover o primeiro padrão do arquivo usando este comando:

sed -i 's/<!--2d3965-->.*<!--\/2d3965-->//g' javascript_file.js

mas não é possível remover o segundo padrão usando um comando similar:

sed -i 's/\/\*2d3965\*\/.\+\/\*\/2d3965\*\///g' javascript_file.js

Qual é a sintaxe correta para remover o segundo padrão?

    
por garconcn 12.09.2013 / 19:38

1 resposta

2

O código que usei para esse tipo de ataque nos arquivos .php, .js e .html é:

perl -p -i.orig -0 -e 's/<\?\s*#([0-9a-z]{6})#.*#\/#\s*\?>//gs; s/<\!--([0-9a-z]{6})-->.*<!--\/-->//gs;'

Irritante ... Você deve descobrir como o invasor entrou e verificar a integridade de seus backups também. Eu tive que executar o acima em 4 milhões de arquivos uma vez porque os backups também foram contaminados.

    
por 12.09.2013 / 19:46

Tags