| |
| 2.9, Коля (?), 00:23, 31/05/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ага, ага. Рекурсивность применять к единичным файлам. Молодец
| | |
|
| 1.2, Аноним (-), 10:39, 27/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А как насчет чего-нибудь типа
find ./ -name "*.php" -exec grep 'eval.*base64_decode' '{}' \+
| | |
| |
| 2.7, Xasd (ok), 13:33, 29/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
 в PHP кстати огромное количество функций которые делают eval ..
например, preg_replace ..
не говоря уже о том что можно сделать:
$a = 'pre';
$b = 'g_replace';
$c = $a.$b;
$c(...);
| | |
|
| 1.4, 100RAGE1 (?), 13:07, 27/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Поиск eval.*base64_decode и других масок мы реализовали в антивирусе, но он не влез в одну строку кода, как в примере =)
| | |
| 1.5, 100RAGE1 (?), 13:14, 27/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кстати можно одним grep-ом:
grep -Ri -lsE --include="*.php" "eval.*base64_decode|^GIF89|Web Shell by|r57shell|c99 inj|default_action=.*FilesMan" ./
и так далее добавляем маски
| | |
| 1.6, stalker37 (?), 23:47, 27/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 ещё часто ловится вот такое вот:
if (!$ind78f5022f) { $ind78f5022f = TRUE;assert("e"."v"."a"."l(b"."a"."s"."e"."6"."4_d"."e"."c"."o"."d"."e('ICR........
| | |
| 1.10, Аноним (-), 07:22, 02/06/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Таких видов файлов достаточно много, у нас список шаблонов в текстовом файле. Также есть класс шаблонов, в которых учтено, что название переменной или функции может изменяться.
| | |
|