Malware en debian

Malware en debian, lo he detectado realizado un escaneo con clamav, para ello he instalado el antivirus clamav, he realizado un escaneo en mi sistema debian y ha detectado en una de las instalaciones el troyano Win.Trojan.Shell-69  y otros más como Win.Trojan.Hide-1 al ver el reporte casi mil archivos han sido infectados, he abierto varios y la mayoría tienen el mismo patrón de infección, son php y en la primera línea incluyen una linea cifrada con este patrón:

  • hacen refencia a una variable zend_Framework
  • o tienen un bucle foreach,

He visto que se puede programar con un script en bash o en php  para que se elimine la primera línea, pero con el comando sed (eliminamos trozos de una determinada línea con un patrón de expresión regular) se puede hacer en tan solo una línea:

Para el caso de la infección que tiene el código zend_framework acabado en x2f\”;?>  la instrucción sería:

sed -i 's/<?php $zend_framework=.*x2f\"); ?>//g' grep -l zend_framework * -R

Para el que utiliza el foreach(explode, sería tal que así:

sed -i 's/<?php foreach(explode.*$uiaiveouiu-1; ?>//g' grep -l foreach * -R

Con estas dos instrucciones tendríamos solucionado el tema e la infección y el problema de los códigos maliciosos en las páginas.

He vuelto a pasar el clamav antivirus y ya no ha detectado ningún malware.

por files

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.