Eu gostaria de procurar arquivos php suspeitos em uma máquina linux. Atualmente tenho uma solução para strings grandes, mas poucos dias atrás eu encontrei uma nova versão de um script suspeito. Em vez de apenas definir uma variável em uma linha longa, a nova versão divide a linha em partes e concat-la.
Aqui está uma amostra:
$dlujpdi =
'KXskXXxbZSgnb2R5cmltcHViTkVDIHBvbWVvLCR0clRoPmRvc2V7TWVzJGZpb25zRV9'.
'MICRsbWUoaXMtbmV3Y2Uoan07cGVucy0+dD0kY291KCdtZWxkcnJwaGlzJy4nZighLC'.
'RwdGVkLT5TZXcgaWYobVsxdGhpKCRwZGRybiBmJHBhbiAkdGhpJHRobmQpQ2hhJGFkZ'.
'XQsdGVkZCgnKXtyZXI9fXxcdXJudGlvbmU7b2RlaGVsaXZlOV17ZWRDLicodHIob24g'.
'YnJldHRhb21IY3RpdGlvcy0+cy0+TVRQKCRkW109KTt9JHN0ZHkudGhpaGFybWF0J0N'.
'vJyAnYWluJGJvc19rXC9cJG1zYm9kdGh0PnZhbiI7UyopJHN0bGVyJyc7cycpYSl7Py'.
'8iaXMtbWUpLT5zKHN0KD8hOkRFcy0+cmV0QWx0c3MiYW1laWYoKS0kaGlzSCcsJGJvK'.
'DIsNzdcc3RyLjIzJycsX2Nvcy0+ZXNwPmFkc2FnezY1OjpEPnRlb2R5bWF4aW1lcHVi'.
e assim por diante. É por isso que eu gostaria de procurar por esse padrão, onde partes Base64 são concatidas junto com um ponto como aqui. Existe uma maneira de fazer isso com o Linux Tools sem escrever um novo programa curto?
Em um sistema Linux, você pode usar algo como:
grep -Erl '[[:alnum:]/+]{20,}' /path/to/php/parent/directory/*
Que diz ao grep para procurar recursivamente arquivos que contenham pelo menos 20 caracteres sequenciais do alfabeto Base64; arquivos correspondentes têm seu nome de arquivo impresso. Ajuste os 20 a gosto.