題 什麼是* nix terminal命令來查找和刪除找到的文件?


我的服務器上有惡意軟件。 所以我想出瞭如何找到所有惡意文件

 grep -r --include*.php "Some String from files" .

這似乎工作正常!

但如何刪除它們? 我嘗試過使用xargs

grep -r --include=*.php "FilesMan" . | xargs -I {} rm {}

但得到了

rm: cannot remove `./www/wp-content/plugins/zuglohjetok/vaoaddiy.php:$default_action = FilesMan;': No such file or directory

有人可以分享一些神奇的代碼嗎?

而且我也試圖通過“查找”在服務器上查找所有最近修改過的文件,但這讓我獲得了大量的文件。有沒有其他奇特的方法來查找惡意軟件或受感染的文件?


2
2018-01-12 11:54


起源


可能不是您想要聽到的內容,但是受到惡意軟件感染的系統通常無法信任。部分恢復可能會讓您認為您的系統再次安全,可能並非如此。我建議擦除所有內容並從頭開始重新安裝。 - Frédéric Hamidi
弗雷德里克,你是對的!我仍然需要對此進行一些研究。但看起來惡意軟件是通過Web shell腳本進入的,通過舊的未更新的wordpress中的一些插件。但這應該仍然得到證實。它自己的腳本只是用index.html文件創建目錄,並重定向到一些垃圾網站。到目前為止,我發現的所有傷害都已完成
很抱歉這樣說,但你沒有找到更多的事實並不能證明沒有更多。有關: 我如何處理受感染的服務器? - Jonas Schäfer
@Jonas,毫無疑問!我還需要做一些深入的研究。但是從我已經發現的內容來看,這是這個腳本“由oRb進行Web Shell”的工作。據我所知,這個腳本通過一些wordpress插件進入。感謝您的鏈接,將閱讀它 - Alex Reds
@AlexReds來自於什麼 一世 能夠找到它可以獲得的最惡劣的惡意軟件類別,因為它為攻擊者提供了類似於shell的東西。 - Jonas Schäfer


答案:


find some/dir -iname '*.php' -exec grep -q "some string" {} \; -delete

使用 -print 代替 -delete 確保命令首先按預期工作。


5
2018-01-12 11:56



所以它完美無瑕。感謝Ignacio快速回复!