[bofhers] Re: [bofhers] Re: [bofhers] Regexp, un clásico

• From: David López <meencantaesto@xxxxxxxxxxx>
• To: "bofhers@xxxxxxxxxxxxx" <bofhers@xxxxxxxxxxxxx>
• Date: Mon, 20 Jan 2014 21:17:44 +0100

Hola Eduardo,

La verdad es que me he vuelto loco buscando en los logs del sistema y no he 
visto nada. Ni se me había ocurrido pensar en que haya sido por FTP. Si que es 
cierto que hay varios sitios alojados en el server y no todos están afectados, 
con lo que esa debe haber sido la vía. Mañana me revisare los logs del FTP a 
ver qué veo...

Gracias por el apunte!

El 20/01/2014, a las 21:04, "Eduardo M. Guirao" <santeador@xxxxxxxxx> escribió:

> Hola David,
> 
> Siento no poder ayudarte con el grep, pero si creo que has sido víctima de 
> una ataque de adware por FTP. Muy problabe si utilizas Filezilla, que 
> almacena las contraseñas en texto plano... Si es así, cambia las contraseñas 
> y utiliza mejor SFTP.
> 
> Espero que otro BOFHer pueda ayudarte con la sintaxis para la eliminación del 
> código malicioso.
> 
> Un saludo.
> 
> 
> El 20 de enero de 2014, 19:38, David López <meencantaesto@xxxxxxxxxxx> 
> escribió:
>> Queridos #BOFHers y #BOFHars, vuelvo a vosotros en estas horas tan sombrías 
>> en busca de un poco de conocimiento...
>> 
>> Os cuento, tengo un servidor web que sirve páginas PHP y al cual le han 
>> encasquetado porquería del estilo 
>> 
>> <?php eval(base64_decode('AASDASDasdasdasDASDSADSAsa...'); ?> 
>> 
>> al comienzo de los archivos index.php, config.php, functions.php etc, es 
>> decir un clásico.
>> 
>> Tengo todos los ficheros localizados y quiero eliminar la línea que me han 
>> metido, y para ello uso grep y sed. La cuestión es que me funciona casi al 
>> 100%, pero hay 2 caracteres que no consigo eliminar y no tengo ni idea de 
>> por qué...
>> 
>> El comando que estoy usando es este:
>> 
>> grep -rl "churro_codificado_en_base64" /ruta_www/ | xargs sed -i 
>> 's/<\?php.*churro_codificado_en_base64.*\?>//g'
>> 
>> y el problema es que no me elimina al completo la línea, si no que me deja 
>> algo así:
>> 
>> <?<?php
>> 
>> es decir, que me sobra un <?.
>> 
>> Alguna idea de por dónde estoy metiendo la gamba? Y ya puestos, sabeís cómo 
>> me lo han podido meter?
>> 
>> Grasias de antebraso ;)
> 

• Follow-Ups:
  • Re: [bofhers] Regexp, un clásico
    • From: NachE

• References:
  • [bofhers] Regexp, un clásico
    • From: David López
  • [bofhers] Re: [bofhers] Regexp, un clásico
    • From: Eduardo M. Guirao

Other related posts:

• » [bofhers] Re: [bofhers] Re: [bofhers] Regexp, un clásico - David López
• » [bofhers] RE: [bofhers] Re: [bofhers] Regexp, un clásico- David López

1. Home
2. bofhers
3. Archive
4. 01-2014

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---