Ich habe in einigen gehackten Javascript-Dateien die folgenden zwei unterschiedlichen Muster gefunden.
<!--2d3965--> some code <!--/2d3965-->
/*2d3965*/ some code /*/2d3965*/
Ich kann das erste Muster mit diesem Befehl aus der Datei entfernen:
sed -i 's/<!--2d3965-->.*<!--\/2d3965-->//g' javascript_file.js
Das zweite Muster kann jedoch mit einem ähnlichen Befehl nicht entfernt werden:
sed -i 's/\/\*2d3965\*\/.\+\/\*\/2d3965\*\///g' javascript_file.js
Was ist die korrekte Syntax zum Entfernen des zweiten Musters?
Antwort1
Der Code, den ich für diese Art von Angriff auf .php-, .js- und .html-Dateien verwendet habe, ist:
perl -p -i.orig -0 -e 's/<\?\s*#([0-9a-z]{6})#.*#\/\1#\s*\?>//gs; s/<\!--([0-9a-z]{6})-->.*<!--\/\1-->//gs;'
Ärgerlich ... Sie sollten herausfinden, wie der Angreifer eingedrungen ist, und auch den Zustand Ihrer Backups überprüfen. Ich musste das oben genannte einmal für 4 Millionen Dateien ausführen, da die Backups ebenfalls beschädigt waren.