[bofhers] RE: [bofhers] Re: [bofhers] Regexp, un clásico
- From: David López <meencantaesto@xxxxxxxxxxx>
- To: Lista BOFHers <bofhers@xxxxxxxxxxxxx>
- Date: Tue, 21 Jan 2014 09:38:18 +0000
@Nache
Eres un crack! Ya tengo todo limpito. En cuanto al foco, he visto un tema de
wordpress que tiene cosicas raras, voy a verlo más despacio.
Gracias !!!!
> Subject: [bofhers] Re: [bofhers] Regexp, un clásico
> From: meencantaesto@xxxxxxxxxxx
> Date: Mon, 20 Jan 2014 22:31:39 +0100
> To: bofhers@xxxxxxxxxxxxx
>
> Pues seguramente sea eso... mañana lo pruebo!!!
>
> Gracias hamijo!!!
>
> El 20/01/2014, a las 21:35, "NachE" <nache@xxxxxxxxxxxxxx> escribió:
>
> > Holamigo.
> > Probando en mi máquina saco una regex tal que así:
> > $ echo "<?php eval(base64_decode('AASDASDasdasdasDASDSADSAsa...')); ?>" |
> > sed
> > 's/<?php*.eval(base64_decode('\''AASDASDasdasdasDASDSADSAsa...'\''));.*?>/caracola/g'
> > caracola
> >
> > Las comillas se escapan con '\'' y \? no escapa el carácter ?, tiene un uso
> > especial y significa "cero o una coincidencia". En cuanto a cómo te ha
> > entrado..., se de alguien a quien le entró por los login de wordpress (los
> > luser son muy dados a password de administración tipo 1234)
> >
> > Saludotes
> >
> > El 2014-01-20 21:17, David López escribió:
> >> Hola Eduardo,
> >> La verdad es que me he vuelto loco buscando en los logs del sistema y
> >> no he visto nada. Ni se me había ocurrido pensar en que haya sido por
> >> FTP. Si que es cierto que hay varios sitios alojados en el server y no
> >> todos están afectados, con lo que esa debe haber sido la vía.
> >> Mañana me revisare los logs del FTP a ver qué veo...
> >> Gracias por el apunte!
> >> El 20/01/2014, a las 21:04, "Eduardo M. Guirao" <santeador@xxxxxxxxx>
> >> escribió:
> >>> Hola David,
> >>> Siento no poder ayudarte con el grep, pero si creo que has sido
> >>> víctima de una ataque de adware por FTP. Muy problabe si utilizas
> >>> Filezilla, que almacena las contraseñas en texto plano... Si es
> >>> así, cambia las contraseñas y utiliza mejor SFTP.
> >>> Espero que otro BOFHer pueda ayudarte con la sintaxis para la
> >>> eliminación del código malicioso.
> >>> Un saludo.
> >>> El 20 de enero de 2014, 19:38, David López
> >>> <meencantaesto@xxxxxxxxxxx> escribió:
> >>>> Queridos #BOFHers y #BOFHars, vuelvo a vosotros en estas horas tan
> >>>> sombrías en busca de un poco de conocimiento...
> >>>> Os cuento, tengo un servidor web que sirve páginas PHP y al cual
> >>>> le han encasquetado porquería del estilo
> >>>> _<?php eval(base64_decode('AASDASDasdasdasDASDSADSAsa...'); ?>_
> >>>> al comienzo de los archivos index.php, config.php, functions.php
> >>>> etc, es decir un clásico.
> >>>> Tengo todos los ficheros localizados y quiero eliminar la línea
> >>>> que me han metido, y para ello uso grep y sed. La cuestión es que
> >>>> me funciona casi al 100%, pero hay 2 caracteres que no consigo
> >>>> eliminar y no tengo ni idea de por qué...
> >>>> El comando que estoy usando es este:
> >>>> _grep -rl "churro_codificado_en_base64" /ruta_www/ | xargs sed -i
> >>>> 's/<?php.*churro_codificado_en_base64.*?>//g'_
> >>>> y el problema es que no me elimina al completo la línea, si no
> >>>> que me deja algo así:
> >>>> _<?<?php_
> >>>> es decir, que me sobra un _<?_.
> >>>> Alguna idea de por dónde estoy metiendo la gamba? Y ya puestos,
> >>>> sabeís cómo me lo han podido meter?
> >>>> Grasias de antebraso ;)
> >
Other related posts:
