Webdesign-Virenentfernung

Ausgangssituation

Vermutlich aufgrund einer Sicherheitslücke in einer Software konnte sich in einem Webspace ein JavaScript-Schädling breit machen. Erkennbar war dies am Quellcode; vor und nach dem Schadcode hatte der Hacker freundlicherweise jeweils sein Kürzel 8d745a hinterlassen.

Bevor umfangreichere Maßnahmen eingeleitet wurden, sollte als Soforthilfe erst einmal der Schadcode von allen Seiten verschwinden. Dies wurde elegant mittels eines Bash-Scriptes erledigt. Zuvor wurden alle Dateien per FTP heruntergeladen.

Die Lösung

Im Verzeichnis wohin die Daten per FTP heruntergeladen wurden folgendes Script ausführen:

clean_virus.sh
#!/bin/bash
for x in $(find . -type f -iname "*.html" -o -iname "*.htm" -o -iname "*.tpl"); do
    sed -i '/<!--8d745a-->/,/<!--\/8d745a-->/d' $x
done
 
for y in $(find . -type f -iname "*.php" -o -iname "*.php~"); do
    sed -i '/#8d745a#/,/#\/8d745a#/d' $y
    sed -i '/<!--8d745a-->/,/<!--\/8d745a-->/d' $y
done
 
for z in $(find . -type f -iname "*.js"); do
    sed -i '/\/\*8d745a\*\//,/\/\*\/8d745a\/\//d' $z
done

Nun im Verzeichnis in einem Terminal mittels des Kommandos

find . -type f -name "*.*" | xargs grep 8d745a

überprüfen, ob außer des oben genannten Virenentfernungsscripts weitere Dateien ausgegeben werden. Falls nicht, ist der Schadcode Geschichte!

Nachdem die Dateien so bereinigt wurden, können sie per FTP wieder auf den Server geladen werden.

Mit Shell-Zugriff auf dem Server hätte diese Aufgabe natürlich noch schneller erledigt werden können.

Quellen

Cookies helfen bei der Bereitstellung von Inhalten. Durch die Nutzung dieser Seiten erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Rechner gespeichert werden. Weitere Information