Qual è il comando * nix terminal per trovare e rimuovere i file trovati?

2

Ho un malware sul mio server. Quindi ho capito come trovare tutti quei file dannosi

 grep -r --include*.php "Some String from files" .

Sembra funzionare benissimo!

ma come eliminarli? Ho provato ad usare xargs

grep -r --include=*.php "FilesMan" . | xargs -I {} rm {}

Ma ottenuto 

rm: cannot remove `./www/wp-content/plugins/zuglohjetok/vaoaddiy.php:$default_action = FilesMan;': No such file or directory

Qualcuno può condividere qualche linea magica di codice?

E ho anche cercato di cercare tutti i file modificati recenti sul server tramite "trova", ma questo mi ha procurato tonnellate di file. Esistono altri metodi fantasiosi per trovare malware o file infetti?

linux  terminal  grep  malware 
Alex Reds
fonte
4
Probabilmente non quello che vuoi sentire, ma i sistemi che sono stati infettati da malware di solito non possono essere considerati attendibili. Il recupero parziale potrebbe farti pensare che il tuo sistema sia di nuovo sicuro, il che potrebbe non essere il caso. Consiglierei di cancellare tutto e reinstallare da zero.
Frédéric Hamidi,
Frédéric, hai ragione! Ho ancora bisogno di fare qualche ricerca su questo. Ma sembra che il malware sia entrato in uno script della shell Web, attraverso alcuni plugin in un vecchio wordpress non aggiornato. ma questo dovrebbe essere ancora confermato. Lo script stesso stava semplicemente creando directory con file index.html con reindirizzamento verso alcuni siti Web spam. Che tutto il danno che ho riscontrato è stato fatto finora
1
Mi dispiace dirlo, ma il fatto che non ne hai trovato di più non prova l'assenza di altro. Correlati: Come posso gestire un server compromesso?
Jonas Schäfer,
@Jonas, senza dubbio! Ho ancora bisogno di fare qualche ricerca approfondita. Ma da quello che ho già scoperto, questo è il lavoro di questo script "Web Shell di oRb". E per quanto posso dire, questo script è entrato attraverso alcuni plugin di wordpress. Grazie per il link, lo leggerà
Alex Reds il
@AlexReds da quello che sono riuscito a trovare, è la peggiore categoria di malware che puoi ottenere, in quanto dà all'attaccante qualcosa di simile a una shell.
Jonas Schäfer,

Risposte:

5 
find some/dir -iname '*.php' -exec grep -q "some string" {} \; -delete

Utilizzare -printinvece di -deleteper assicurarsi che il comando funzioni come previsto prima.

Ignacio Vazquez-Abrams
fonte
Quindi funziona perfettamente. Grazie Ignacio per la rapida risposta!
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.