1. дома
  2. Вопрос и ответ
  3. ssh поиск js инъекций текст в файлах

ssh поиск js инъекций текст в файлах

2013-03-04 2 views
0

Мой сайт был взломан, и у большого количества файлов теперь есть js-инъекции, поэтому мне нужна ваша помощь. Поскольку я новичок, я не знаю, как писать команды в ssh, может ли кто-нибудь помочь мне с командой ssh, чтобы найти текст во всех файлах на сервере.ssh поиск js инъекций текст в файлах

Мои HTML-файлы имеют этот код -

<!--68c8c7--><script type="text/javascript" language="javascript" >

BLA BLA КОД ЗДЕСЬ

Мои PHP файлы имеют это:

<?

68c8c7

/68c8c7

?>

И .htaccess имеет код, похожий на html-файлы. Короче говоря, у всех их есть общее - «68c8c7». Есть ли способ запустить команду, которая будет выглядеть во всех моих файлах для «68c8c7» и сохранить их в файле? А также было бы здорово искать и заменять любые мысли по этому поводу?

Спасибо, Dan!

источник

2013-03-04 user2130729

ответ

0 
grep -lrIi 68c8c7 $SEARCH_DIR > outputfile.txt

Это должно перечислить все имена файлов под $SEARCH_DIR, которые содержат строку 68c8c7 и сохранить результат в outputfile.txt

Примечание: Команда исключает GREP все бинарные файлы, так как на основе вашего вопроса я понял, что вы 'интересуется только исходными файлами.

Теперь, если вы хотите заменить строку 68c8c7 с пустым во всех этих файлах, вы можете запустить эту команду в Баше:

for file in $(cat outputfile.txt); do 
    sed -i 's#68c8c7##gI' $file 
done

ВНИМАНИЕ: Просто, чтобы убедиться, не сделать резервную копию файлов перед выполнением команды sed для выполнения поиска и замены.

источник

2013-03-04 07:00:43 Tuxdude

+0

я решил не заменить, но вручную перейти файлы просто не вызывать больше неприятности. Большое спасибо за Вашу помощь!! – user2130729

0

замена 68c8c7 не поможет. В любом случае эти строки html-comment. Один из моих сайтов был взломан сегодня так же. Я искал все зараженные файлы простым строковым-поиском >>68c8c7. Оказалось, что все мои файлы .js содержат новую функцию, которая записывает html для нового iframe при загрузке страницы. Удаление плохих строк не сработало, мне пришлось полностью удалить весь источник с веб-сервера и заменить его резервными файлами на моем ноутбуке.

Googling ("68c8c7 hack javascript") это явление возвращает огромный список явно зараженных сайтов. Любые советы о том, как защитить мои сайты, приветствуются! (Будет ли настройки доступа с правами на ИС-файлы только для чтения ничего хорошего?)

Приветствия, Артур

источник

2013-03-04 21:14:32 Arthur

+0

Спасибо за ваше предложение, я знаю, что это только комментарии.Глупый из меня, но у меня не было никаких резервных копий, поэтому мне пришлось его очистить, что я вручную делал вручную из ftp-журналов. И понадобилась эта команда, чтобы дважды проверить, что все удалено, я не заменил, только искал появления. Но спасибо вам в любом случае! – user2130729

 Смежные вопросы

  • Нет связанных вопросов^_^