Encontrei os dois padrões diferentes a seguir em alguns arquivos javascript hackeados.
<!--2d3965--> some code <!--/2d3965-->
/*2d3965*/ some code /*/2d3965*/
Consigo remover o primeiro padrão do arquivo usando este comando:
sed -i 's/<!--2d3965-->.*<!--\/2d3965-->//g' javascript_file.js
mas não é possível remover o segundo padrão usando um comando semelhante:
sed -i 's/\/\*2d3965\*\/.\+\/\*\/2d3965\*\///g' javascript_file.js
Qual é a sintaxe correta para remover o segundo padrão?
Responder1
O código que usei para esse tipo de ataque em arquivos .php, .js e .html é:
perl -p -i.orig -0 -e 's/<\?\s*#([0-9a-z]{6})#.*#\/\1#\s*\?>//gs; s/<\!--([0-9a-z]{6})-->.*<!--\/\1-->//gs;'
Irritante... Você deve descobrir como o invasor entrou e verificar também a integridade dos seus backups. Tive que executar o procedimento acima em 4 milhões de arquivos uma vez porque os backups também estavam corrompidos.