最近、私のサーバーは一連のPHP攻撃の対象となり、ClamAVを使用して感染したファイルの多くを識別できました。
ここでの問題は、一部の合法的なファイルが感染し、一部は完全にマルウェアです。
幸いにも、感染したファイルの形式は次のとおりです。
<?php //malicious code ?>
<?php //legitimate part ?>
だから私はsed
PHPタグの最初のエントリを削除できると思いました。これにより、正当なコードはそのまま残り、悪意のある部分は削除されます。
これを行うには、次のコマンドを使用しました。
sed 's/<?php.*?>//' file.php
これには2つの問題があります。
- 最初のアイテムの代わりにすべてのアイテムを置き換えます。
- 複数行が表示されると失敗します。
私は多くのフォームを試してみましたが、ある時点ですべて失敗しました。
sed '0,/<?php.*?>/{s/<?php.*?>//}' //this has also failed
だから私はあなたがこのsedコマンドをどのように機能させるかについていくつかのヒントを与えたり、現在の作業のためのより良いツールを提案したりできると思いました。
答え1
申し訳ありません。 sedの代わりにperl oneliner式を使用していますが、どういうわけかsedの正規表現を学んだり覚えたりすることはできません。したがって、次のことを試すことができます。
$ cat somefile.php | tr '\n' '@@@' | perl -p -e 's/^(.*?)(<\?php.*?\?>)(.*$)/$1$3/' | tr '@@@' '\n' > somefile_1.php
1つ目は、tr
1行の文字列内で複数行の文字列を変更することです。 ' @@@
'文字列は単なる例であり、編集したいファイルに存在しない文字列である可能性があります(確かに確認するには、まずgrepしてください)。
次に、perlコマンドは実際の作業を実行します。正規表現グループを使用して、文字列を3つの部分に分割します。まず、phpブロックが最初に現れる前のもの、次のphpブロック自体、最後に最初のphpブロックの後ろのすべてです。 。文字は?
ワイルドカード式を貪欲にしないようにするために使用され、.*
他の疑問符はエスケープする必要があります。
最後はtr
改行文字を返します(最初の文字列と同じ文字列を使用する必要があります。tr
この場合は " @@@
")。
答え2
問題は、sedが一度に1行ずつファイルを表示する1行ツールであることです。クロスラインのコンテキストを維持し、それに応じてタスクを変更するように指示できますが、これはsedのやや曖昧で難しい機能なので、ほとんど使用されません。代わりにPerlを使用してこれを行います。
#!/usr/bin/perl -w
use strict;
use warnings;
foreach my $file (@ARGV) {
open INPUT, "<$file";
open OUTPUT, ">$file.new";
my $found = 0;
while (my $line=<INPUT>) {
if ($line =~ /<\?php/ && !$found) {
$found=1;
} else {
print OUTPUT $line;
}
}
close INPUT;
close OUTPUT;
}
編集したいファイルのリストをコマンドライン引数として呼び出します。フィルタ処理された出力を拡張子が.new
追加されたファイルにダンプします。
ただし、サーバーが破損している場合の最善の方法は、サーバーを消去してバックアップから復元することです。また、どんな悪いことが起こるのかわかりません。