Webdesign-Virenentfernung

Ausgangssituation

Vermutlich aufgrund einer Sicherheitslücke in einer Software konnte sich in einem Webspace ein JavaScript-Schädling breit machen. Erkennbar war dies am Quellcode; vor und nach dem Schadcode hatte der Hacker freundlicherweise jeweils sein Kürzel 8d745a hinterlassen.

Bevor umfangreichere Maßnahmen eingeleitet wurden, sollte als Soforthilfe erst einmal der Schadcode von allen Seiten verschwinden. Dies wurde elegant mittels eines Bash-Scriptes erledigt. Zuvor wurden alle Dateien per FTP heruntergeladen.

Die Lösung

Im Verzeichnis wohin die Daten per FTP heruntergeladen wurden folgendes Script ausführen:

clean_virus.sh
#!/bin/bash
for x in $(find . -type f -iname "*.html" -o -iname "*.htm" -o -iname "*.tpl"); do
    sed -i '/<!--8d745a-->/,/<!--\/8d745a-->/d' $x
done
 
for y in $(find . -type f -iname "*.php" -o -iname "*.php~"); do
    sed -i '/#8d745a#/,/#\/8d745a#/d' $y
    sed -i '/<!--8d745a-->/,/<!--\/8d745a-->/d' $y
done
 
for z in $(find . -type f -iname "*.js"); do
    sed -i '/\/\*8d745a\*\//,/\/\*\/8d745a\/\//d' $z
done

Nun im Verzeichnis in einem Terminal mittels des Kommandos

find . -type f -name "*.*" | xargs grep 8d745a

überprüfen, ob außer des oben genannten Virenentfernungsscripts weitere Dateien ausgegeben werden. Falls nicht, ist der Schadcode Geschichte!

Nachdem die Dateien so bereinigt wurden, können sie per FTP wieder auf den Server geladen werden.

Mit Shell-Zugriff auf dem Server hätte diese Aufgabe natürlich noch schneller erledigt werden können.

Quellen

Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information