次.bash_history
のファイル行でこれを見つけました。
grep -iHlnr 'filesman' *2> /dev/null
grep -iHlnr 'eval.*base64_decode' *2> /dev/null
Googleでは、私はこれが「Malware Find Command」に似ていることを知っています。誰かが正確に何をしているのかを説明できますか? (grepが何をしているのかわかりますが、構文はわかりません。)
答え1
公開したコマンドは何もしません。grep
名前で終わるファイルで実行され、名前2
で終わるディレクトリで繰り返し実行されます2
。末尾の空白がありません*
(末尾の空白は>
許可されていますが、役に立たず、何よりも混乱しています)。
grep -iHlnr 'filesman' * 2>/dev/null
grep -iHlnr 'eval.*base64_decode' * 2>/dev/null
これは、現在のディレクトリとそのサブディレクトリに同じ行を含めるfilesman
か、次のeval
ファイルを再帰的に検索します。base64_decode
検索では大文字と小文字が区別されません。各オプションの正確な意味については、grepのマニュアルをご覧ください。
これを「マルウェア検索」と呼ぶのは膨大な拡張です。 PHPのマルウェアを見つけることもできますが、いくつかの正当なファイルを返し、いくつかの特定のマルウェアだけを見つけることができます。