Mit dem Terminalbefehl * nix können gefundene Dateien gesucht und entfernt werden?

2

Ich habe eine Malware auf meinem Server. Also habe ich herausgefunden, wie man all diese schädlichen Dateien findet

 grep -r --include*.php "Some String from files" .

Das scheint gut zu funktionieren!

aber wie löscht man sie? Ich habe versucht, Xargs zu verwenden

grep -r --include=*.php "FilesMan" . | xargs -I {} rm {}

Aber bekam

rm: cannot remove `./www/wp-content/plugins/zuglohjetok/vaoaddiy.php:$default_action = FilesMan;': No such file or directory

Kann jemand eine magische Codezeile teilen?

Außerdem habe ich versucht, mit "find" nach allen zuletzt geänderten Dateien auf dem Server zu suchen, aber das brachte mir Unmengen von Dateien ein. Gibt es andere ausgefallene Methoden, um Malware oder infizierte Dateien zu finden?

Alex Reds
quelle
4
Wahrscheinlich nicht das, was Sie hören möchten, aber Systemen, die mit Malware infiziert wurden, kann normalerweise nicht vertraut werden. Eine teilweise Wiederherstellung kann dazu führen, dass Sie glauben, Ihr System sei wieder sicher, was möglicherweise nicht der Fall ist. Ich würde empfehlen, alles zu löschen und von Grund auf neu zu installieren.
Frédéric Hamidi
Frédéric, du hast recht! Darüber muss ich noch ein bisschen recherchieren. Aber es sieht so aus, als ob Malware von einem Web-Shell-Skript über ein Plugin in altem, nicht aktualisiertem WordPress eingeschleust wurde. aber das sollte noch bestätigt werden. Das Skript selbst hat nur Verzeichnisse mit index.html-Dateien erstellt, die auf einige Spam-Websites umgeleitet wurden. Dass alles, was ich gefunden habe, Schaden angerichtet hat
1
Tut mir leid, das zu sagen, aber die Tatsache, dass Sie nicht mehr gefunden haben, beweist nicht das Fehlen von mehr. Verbunden: Wie gehe ich mit einem kompromittierten Server um?
Jonas Schäfer
@Jonas, kein Zweifel! Ich muss noch einige gründliche Nachforschungen anstellen. Aber nach dem, was ich bereits herausgefunden habe, ist dies die Arbeit dieses Skripts "Web Shell by oRb". Und soweit ich das beurteilen kann, ist dieses Skript über einige WordPress-Plugins reingekommen. Danke für den Link, werde es lesen
Alex Reds
@AlexReds von was ich war in der Lage zu finden, es ist die schlimmste Kategorie von Malware, die man bekommen kann, da es dem Angreifer etwas gibt, das einer Shell ähnelt.
Jonas Schäfer

Antworten:

5
find some/dir -iname '*.php' -exec grep -q "some string" {} \; -delete

Benutzen -print anstatt -delete um sicherzustellen, dass der Befehl zuerst wie erwartet funktioniert.

Ignacio Vazquez-Abrams
quelle
So funktioniert es einwandfrei. Danke Ignacio für die schnelle Antwort!