ryepdx/replace_get_string.py

## replace_get_string.py
replace_dict = {
'get_string(2, 6)': 'curl',
'get_string(9, 7)': '_init',
'get_string(17, 20)': 'allow_url_fopen',
'get_string(17, 20)': 'allow_url_fopen',
'get_string(37, 2)': '1',
'get_string(39, 10)': 'http://',
'get_string(51, 30)': '&way=file_get_contents',
'get_string(82, 10)': '_setopt',
'get_string(95, 7)': '_exec',
'get_string(39, 10)': 'http://',
'get_string(103, 12))': '&way=curl',
'get_string(118, 0)': '',
'get_string(118, 0)': '',
'get_string(121, 2)': '/',
'get_string(123, 10)': 'oson.in',
'get_string(133, 23)': 'a-in-a-circle.com',
'get_string(159, 15)': 'phpaide.com',
'get_string(177, 2)': 'w',
'get_string(182, 3)': 'Y_',
'get_string(185, 2)': ':',
'get_string(189, 19)': 'display_errors',
'get_string(211, 16)': 'determinator',
'get_string(229, 7)': 'ftp13',
'get_string(238, 6)': '2.18',
'get_string(245, 20)': 'QQQOQ0OQ0OOQOQO',
'get_string(266, 18)': 'base64_decode',
'get_string(286, 18)': 'base64_encode',
'get_string(39, 10)': 'http://',
'get_string(306, 12)': 'HTTP_HOST',
'get_string(321, 7)': 'union',
'get_string(118, 0)': '',
'get_string(329, 8)': 'select',
'get_string(118, 0)': '',
'get_string(343, 15)': 'REQUEST_URI',
'get_string(343, 15)': 'REQUEST_URI',
'get_string(361, 15)': 'SCRIPT_NAME',
'get_string(377, 16)': 'QUERY_STRING',
'get_string(343, 15)': 'REQUEST_URI',
'get_string(393, 2)': '?',
'get_string(377, 16)': 'QUERY_STRING',
'get_string(343, 15)': 'REQUEST_URI',
'get_string(399, 20)': '/tmp/.font-unix',
'get_string(422, 4)': 'TMP',
'get_string(430, 6)': 'TEMP',
'get_string(422, 4)': 'TMP',
'get_string(439, 8)': 'TMPDIR',
'get_string(430, 6)': 'TEMP',
'get_string(451, 4)': 'tmp',
'get_string(458, 24)': 'wp-content/uploads',
'get_string(482, 22)': 'wp-content/cache',
'get_string(506, 19)': 'upload_tmp_dir',
'get_string(530, 6)': '/tmp',
'get_string(537, 2)': '.',
'get_string(539, 8)': 'versio',
'get_string(551, 2)': '-',
'get_string(557, 6)': '-php',
'get_string(566, 16)': 'HTTP_EXECPHP',
'get_string(585, 4)': 'out',
'get_string(589, 3)': 'ok',
'get_string(595, 20)': 'HTTP_USER_AGENT',
'get_string(619, 2)': ',',
'get_string(623, 55)': 'google,yahoo,bing,msnbot,ask,baidu,yandex',
'get_string(678, 14)': '/pg.php?u=',
'get_string(694, 4)': '&k=',
'get_string(701, 12)': '&t=php&p=',
'get_string(714, 4)': '&v=' }

f = open("infection_replaced.php", "a")
in_file = open("infection.php")
for line in in_file:
    for key, value in replace_dict.items():
        line = line.replace(key, "'"+value+"'")
    f.write(line + "\n")
in_file.close()
f.close()
	replace_dict = {
	'get_string(2, 6)': 'curl',
	'get_string(9, 7)': '_init',
	'get_string(17, 20)': 'allow_url_fopen',
	'get_string(17, 20)': 'allow_url_fopen',
	'get_string(37, 2)': '1',
	'get_string(39, 10)': 'http://',
	'get_string(51, 30)': '&way=file_get_contents',
	'get_string(82, 10)': '_setopt',
	'get_string(95, 7)': '_exec',
	'get_string(39, 10)': 'http://',
	'get_string(103, 12))': '&way=curl',
	'get_string(118, 0)': '',
	'get_string(118, 0)': '',
	'get_string(121, 2)': '/',
	'get_string(123, 10)': 'oson.in',
	'get_string(133, 23)': 'a-in-a-circle.com',
	'get_string(159, 15)': 'phpaide.com',
	'get_string(177, 2)': 'w',
	'get_string(182, 3)': 'Y_',
	'get_string(185, 2)': ':',
	'get_string(189, 19)': 'display_errors',
	'get_string(211, 16)': 'determinator',
	'get_string(229, 7)': 'ftp13',
	'get_string(238, 6)': '2.18',
	'get_string(245, 20)': 'QQQOQ0OQ0OOQOQO',
	'get_string(266, 18)': 'base64_decode',
	'get_string(286, 18)': 'base64_encode',
	'get_string(39, 10)': 'http://',
	'get_string(306, 12)': 'HTTP_HOST',
	'get_string(321, 7)': 'union',
	'get_string(118, 0)': '',
	'get_string(329, 8)': 'select',
	'get_string(118, 0)': '',
	'get_string(343, 15)': 'REQUEST_URI',
	'get_string(343, 15)': 'REQUEST_URI',
	'get_string(361, 15)': 'SCRIPT_NAME',
	'get_string(377, 16)': 'QUERY_STRING',
	'get_string(343, 15)': 'REQUEST_URI',
	'get_string(393, 2)': '?',
	'get_string(377, 16)': 'QUERY_STRING',
	'get_string(343, 15)': 'REQUEST_URI',
	'get_string(399, 20)': '/tmp/.font-unix',
	'get_string(422, 4)': 'TMP',
	'get_string(430, 6)': 'TEMP',
	'get_string(422, 4)': 'TMP',
	'get_string(439, 8)': 'TMPDIR',
	'get_string(430, 6)': 'TEMP',
	'get_string(451, 4)': 'tmp',
	'get_string(458, 24)': 'wp-content/uploads',
	'get_string(482, 22)': 'wp-content/cache',
	'get_string(506, 19)': 'upload_tmp_dir',
	'get_string(530, 6)': '/tmp',
	'get_string(537, 2)': '.',
	'get_string(539, 8)': 'versio',
	'get_string(551, 2)': '-',
	'get_string(557, 6)': '-php',
	'get_string(566, 16)': 'HTTP_EXECPHP',
	'get_string(585, 4)': 'out',
	'get_string(589, 3)': 'ok',
	'get_string(595, 20)': 'HTTP_USER_AGENT',
	'get_string(619, 2)': ',',
	'get_string(623, 55)': 'google,yahoo,bing,msnbot,ask,baidu,yandex',
	'get_string(678, 14)': '/pg.php?u=',
	'get_string(694, 4)': '&k=',
	'get_string(701, 12)': '&t=php&p=',
	'get_string(714, 4)': '&v=' }

	f = open("infection_replaced.php", "a")
	in_file = open("infection.php")
	for line in in_file:
	for key, value in replace_dict.items():
	line = line.replace(key, "'"+value+"'")
	f.write(line + "\n")
	in_file.close()
	f.close()