replace_dict = { | |
'get_string(2, 6)': 'curl', | |
'get_string(9, 7)': '_init', | |
'get_string(17, 20)': 'allow_url_fopen', | |
'get_string(17, 20)': 'allow_url_fopen', | |
'get_string(37, 2)': '1', | |
'get_string(39, 10)': 'http://', | |
'get_string(51, 30)': '&way=file_get_contents', | |
'get_string(82, 10)': '_setopt', | |
'get_string(95, 7)': '_exec', | |
'get_string(39, 10)': 'http://', | |
'get_string(103, 12))': '&way=curl', | |
'get_string(118, 0)': '', | |
'get_string(118, 0)': '', | |
'get_string(121, 2)': '/', | |
'get_string(123, 10)': 'oson.in', | |
'get_string(133, 23)': 'a-in-a-circle.com', | |
'get_string(159, 15)': 'phpaide.com', | |
'get_string(177, 2)': 'w', | |
'get_string(182, 3)': 'Y_', | |
'get_string(185, 2)': ':', | |
'get_string(189, 19)': 'display_errors', | |
'get_string(211, 16)': 'determinator', | |
'get_string(229, 7)': 'ftp13', | |
'get_string(238, 6)': '2.18', | |
'get_string(245, 20)': 'QQQOQ0OQ0OOQOQO', | |
'get_string(266, 18)': 'base64_decode', | |
'get_string(286, 18)': 'base64_encode', | |
'get_string(39, 10)': 'http://', | |
'get_string(306, 12)': 'HTTP_HOST', | |
'get_string(321, 7)': 'union', | |
'get_string(118, 0)': '', | |
'get_string(329, 8)': 'select', | |
'get_string(118, 0)': '', | |
'get_string(343, 15)': 'REQUEST_URI', | |
'get_string(343, 15)': 'REQUEST_URI', | |
'get_string(361, 15)': 'SCRIPT_NAME', | |
'get_string(377, 16)': 'QUERY_STRING', | |
'get_string(343, 15)': 'REQUEST_URI', | |
'get_string(393, 2)': '?', | |
'get_string(377, 16)': 'QUERY_STRING', | |
'get_string(343, 15)': 'REQUEST_URI', | |
'get_string(399, 20)': '/tmp/.font-unix', | |
'get_string(422, 4)': 'TMP', | |
'get_string(430, 6)': 'TEMP', | |
'get_string(422, 4)': 'TMP', | |
'get_string(439, 8)': 'TMPDIR', | |
'get_string(430, 6)': 'TEMP', | |
'get_string(451, 4)': 'tmp', | |
'get_string(458, 24)': 'wp-content/uploads', | |
'get_string(482, 22)': 'wp-content/cache', | |
'get_string(506, 19)': 'upload_tmp_dir', | |
'get_string(530, 6)': '/tmp', | |
'get_string(537, 2)': '.', | |
'get_string(539, 8)': 'versio', | |
'get_string(551, 2)': '-', | |
'get_string(557, 6)': '-php', | |
'get_string(566, 16)': 'HTTP_EXECPHP', | |
'get_string(585, 4)': 'out', | |
'get_string(589, 3)': 'ok', | |
'get_string(595, 20)': 'HTTP_USER_AGENT', | |
'get_string(619, 2)': ',', | |
'get_string(623, 55)': 'google,yahoo,bing,msnbot,ask,baidu,yandex', | |
'get_string(678, 14)': '/pg.php?u=', | |
'get_string(694, 4)': '&k=', | |
'get_string(701, 12)': '&t=php&p=', | |
'get_string(714, 4)': '&v=' } | |
f = open("infection_replaced.php", "a") | |
in_file = open("infection.php") | |
for line in in_file: | |
for key, value in replace_dict.items(): | |
line = line.replace(key, "'"+value+"'") | |
f.write(line + "\n") | |
in_file.close() | |
f.close() |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment