Я обнаружил следующие два разных шаблона в некоторых взломанных файлах JavaScript.
<!--2d3965--> some code <!--/2d3965-->
/*2d3965*/ some code /*/2d3965*/
Я могу удалить первый шаблон из файла с помощью этой команды:
sed -i 's/<!--2d3965-->.*<!--\/2d3965-->//g' javascript_file.js
но не удалось удалить второй шаблон с помощью аналогичной команды:
sed -i 's/\/\*2d3965\*\/.\+\/\*\/2d3965\*\///g' javascript_file.js
Каков правильный синтаксис для удаления второго шаблона?
решение1
Код, который я использовал для этого типа атаки на файлы .php, .js и .html, следующий:
perl -p -i.orig -0 -e 's/<\?\s*#([0-9a-z]{6})#.*#\/\1#\s*\?>//gs; s/<\!--([0-9a-z]{6})-->.*<!--\/\1-->//gs;'
Раздражает... Вам следует выяснить, как злоумышленник проник, а также проверить работоспособность резервных копий. Мне пришлось запустить вышеописанное на 4 миллионах файлов один раз, потому что резервные копии также были испорчены.