CryptoPHP finder

1. <?php
2. /*
3.    --- Skripta pronalazi CryptoPHP malware ---
4. Staviti skriptu u web folder, gde vam je sajt, ili u parent folder svih sajtova
5. Pokrenuti najbolje kao root, u konzoli, ili preko web-a, www.sajt.com/ova-skripta.php
6.  
7. p.s. normalno je da skripta 'prijavi' samu sebe (jer pronalazi 'potpis' virusa u samoj sebi)
8.  
9. Opsirnije o CryptoPHP malware-u - http://www.informacija.rs/Virus/Backdoor-CryptoPHP-u-pluginovima-za-WordPress-Joomla-i-Drupal.html
10.  
11. ----------- */
12.  
13. $find = 'WP_OPTION_KEY';    // String koji trazimo
14. $folder = ".";          // folder koji treba da skenira [skenirace se i podfolderi],
15.                 // "." je folder u kom se nalazi skripta.
16.  
17. @set_time_limit(3600);      // povecati po potrebi, maksimalno dozvoljeno vreme potrebno skripti da skenira sve, u sekundama
18.  
19. function scan($fajl) {
20.     global $find;
21.     $buf = file_get_contents ($fajl);
22.     if (strpos($buf, $find)!==FALSE) {
23.         echo $fajl." <br />\n";
24.     }
25. }
26.  
27. function filesInDir($dir) {
28.     if ($dh = opendir($dir)) {
29.         while (($file = readdir($dh)) !== false) {
30.             if ($file == '.' || $file == '..') {
31.             } elseif (is_dir($dir.'/'.$file)) {
32.                 filesInDir($dir.'/'.$file);
33.             } else {
34.                 if (strtolower(substr($file, strlen($file)-4, 4)) == ".php" || strtolower(substr($file, strlen($file)-5, 4)) == ".php" || strtolower(substr($file, strlen($file)-4, 4)) == ".png") {
35.                     $fajl = $dir.'/'.$file;
36.                     scan ($fajl);
37.                 }
38.             }
39.         }
40.     }
41.     closedir($dh);
42. }
43.  
44. filesInDir($folder);
45.  
46. ?>