Malware en debian
Malware en debian, lo he detectado realizado un escaneo con clamav, para ello he instalado el antivirus clamav, he realizado un escaneo en mi sistema debian y ha detectado en una de las instalaciones el troyano Win.Trojan.Shell-69 y otros más como Win.Trojan.Hide-1 al ver el reporte casi mil archivos han sido infectados, he abierto varios y la mayoría tienen el mismo patrón de infección, son php y en la primera línea incluyen una linea cifrada con este patrón:
- hacen refencia a una variable zend_Framework
- o tienen un bucle foreach,
He visto que se puede programar con un script en bash o en php para que se elimine la primera línea, pero con el comando sed (eliminamos trozos de una determinada línea con un patrón de expresión regular) se puede hacer en tan solo una línea:
Para el caso de la infección que tiene el código zend_framework acabado en x2f\”;?> la instrucción sería:
sed -i 's/<?php $zend_framework=.*x2f\"); ?>//g' grep -l zend_framework * -R
Para el que utiliza el foreach(explode, sería tal que así:
sed -i 's/<?php foreach(explode.*$uiaiveouiu-1; ?>//g' grep -l foreach * -R
Con estas dos instrucciones tendríamos solucionado el tema e la infección y el problema de los códigos maliciosos en las páginas.
He vuelto a pasar el clamav antivirus y ya no ha detectado ningún malware.