ubuntuusers.de

Hallo,

folgendes Problem: Meine Website wurde gehackt und ich bin nun am bereinigen.. Um mir das Leben einfacher zu machen habe ich mir gedacht ob ich nicht meinen Befehl erweitern kann sodass er den Schadecode gleich automatisch entfernt und ich nicht jede Datei öffnen und bearbeiten muss.. ☹

ich habe hier folgenden Befehl:

1

grep --include=*.php -rn . -e "base64_decode"

der gibt mir halt alle Dateien mit Inhalt und Zeilennummer auf in der der String enthalten ist.. So nun ist mir aufgefallen das der Unruhestifter seine Backdoor immer in die 1.Zeile und mit den Kommentar: /*8968665*/ ... /*8968665*/ eingebaut hat..

Gibt es nun eine Möglichkeit wie ich falls er mit grep etwas findet gleich den Inhalt zwischen den Kommentar entfernen kann?

mfg ungoliant

ungoliant599 schrieb:

So nun ist mir aufgefallen das der Unruhestifter seine Backdoor immer in die 1.Zeile und mit den Kommentar: /*8968665*/ ... /*8968665*/ eingebaut hat..

Gibt es nun eine Möglichkeit wie ich falls er mit grep etwas findet gleich den Inhalt zwischen den Kommentar entfernen kann?

Das hier ändert die Datein in place - die alte Version wird als ".bak" erhalten.

1

find /wo/auch/immer -type f -name '*.php' -exec sed -i.bak '1s#/\*8968665\*/.*/\*8968665\*/##' {} +

Du kannst auch das "-i.bak" durch "-i" ersetzten. Dann gibt es keine Backups. Auf jeden Fall erst mal mit einer Kopie testen!

Generell würde ich lieber erst mal herausfinden, wie der Angreifer aufs System gekommen ist (falls die Logs das hergeben) und dann die Webseite (bzw. besser das komplette System) platt machen und dann sauberen PHP-Quellcode erneut auf das System kopieren. Niemand garantiert dir, dass sich der Angreifer nicht noch an einer anderen Stelle eingenistet hat.

Danke ich probier das mal!

Sicherheitslücke ist schon geschlossen.. Ich bin nur noch am bereinigen..