Eu encontrei o seguinte padrão diferente em alguns arquivos javascript hackeados.
<!--2d3965--> some code <!--/2d3965-->
/*2d3965*/ some code /*/2d3965*/
Eu posso remover o primeiro padrão do arquivo usando este comando:
sed -i 's/<!--2d3965-->.*<!--\/2d3965-->//g' javascript_file.js
mas não é possível remover o segundo padrão usando um comando similar:
sed -i 's/\/\*2d3965\*\/.\+\/\*\/2d3965\*\///g' javascript_file.js
Qual é a sintaxe correta para remover o segundo padrão?
O código que usei para esse tipo de ataque nos arquivos .php, .js e .html é:
perl -p -i.orig -0 -e 's/<\?\s*#([0-9a-z]{6})#.*#\/#\s*\?>//gs; s/<\!--([0-9a-z]{6})-->.*<!--\/-->//gs;'
Irritante ... Você deve descobrir como o invasor entrou e verificar a integridade de seus backups também. Eu tive que executar o acima em 4 milhões de arquivos uma vez porque os backups também foram contaminados.
Tags sed