@Nache Eres un crack! Ya tengo todo limpito. En cuanto al foco, he visto un tema de wordpress que tiene cosicas raras, voy a verlo más despacio. Gracias !!!! > Subject: [bofhers] Re: [bofhers] Regexp, un clásico > From: meencantaesto@xxxxxxxxxxx > Date: Mon, 20 Jan 2014 22:31:39 +0100 > To: bofhers@xxxxxxxxxxxxx > > Pues seguramente sea eso... mañana lo pruebo!!! > > Gracias hamijo!!! > > El 20/01/2014, a las 21:35, "NachE" <nache@xxxxxxxxxxxxxx> escribió: > > > Holamigo. > > Probando en mi máquina saco una regex tal que así: > > $ echo "<?php eval(base64_decode('AASDASDasdasdasDASDSADSAsa...')); ?>" | > > sed > > 's/<?php*.eval(base64_decode('\''AASDASDasdasdasDASDSADSAsa...'\''));.*?>/caracola/g' > > caracola > > > > Las comillas se escapan con '\'' y \? no escapa el carácter ?, tiene un uso > > especial y significa "cero o una coincidencia". En cuanto a cómo te ha > > entrado..., se de alguien a quien le entró por los login de wordpress (los > > luser son muy dados a password de administración tipo 1234) > > > > Saludotes > > > > El 2014-01-20 21:17, David López escribió: > >> Hola Eduardo, > >> La verdad es que me he vuelto loco buscando en los logs del sistema y > >> no he visto nada. Ni se me había ocurrido pensar en que haya sido por > >> FTP. Si que es cierto que hay varios sitios alojados en el server y no > >> todos están afectados, con lo que esa debe haber sido la vía. > >> Mañana me revisare los logs del FTP a ver qué veo... > >> Gracias por el apunte! > >> El 20/01/2014, a las 21:04, "Eduardo M. Guirao" <santeador@xxxxxxxxx> > >> escribió: > >>> Hola David, > >>> Siento no poder ayudarte con el grep, pero si creo que has sido > >>> víctima de una ataque de adware por FTP. Muy problabe si utilizas > >>> Filezilla, que almacena las contraseñas en texto plano... Si es > >>> así, cambia las contraseñas y utiliza mejor SFTP. > >>> Espero que otro BOFHer pueda ayudarte con la sintaxis para la > >>> eliminación del código malicioso. > >>> Un saludo. > >>> El 20 de enero de 2014, 19:38, David López > >>> <meencantaesto@xxxxxxxxxxx> escribió: > >>>> Queridos #BOFHers y #BOFHars, vuelvo a vosotros en estas horas tan > >>>> sombrías en busca de un poco de conocimiento... > >>>> Os cuento, tengo un servidor web que sirve páginas PHP y al cual > >>>> le han encasquetado porquería del estilo > >>>> _<?php eval(base64_decode('AASDASDasdasdasDASDSADSAsa...'); ?>_ > >>>> al comienzo de los archivos index.php, config.php, functions.php > >>>> etc, es decir un clásico. > >>>> Tengo todos los ficheros localizados y quiero eliminar la línea > >>>> que me han metido, y para ello uso grep y sed. La cuestión es que > >>>> me funciona casi al 100%, pero hay 2 caracteres que no consigo > >>>> eliminar y no tengo ni idea de por qué... > >>>> El comando que estoy usando es este: > >>>> _grep -rl "churro_codificado_en_base64" /ruta_www/ | xargs sed -i > >>>> 's/<?php.*churro_codificado_en_base64.*?>//g'_ > >>>> y el problema es que no me elimina al completo la línea, si no > >>>> que me deja algo así: > >>>> _<?<?php_ > >>>> es decir, que me sobra un _<?_. > >>>> Alguna idea de por dónde estoy metiendo la gamba? Y ya puestos, > >>>> sabeís cómo me lo han podido meter? > >>>> Grasias de antebraso ;) > >