#-----------------------文件病毒特征-----------------------
#多余文件
pattern|100001|value|/^小-虎-哥$/i
#疑似木马
pattern|600001|value|/(pfsockopen|fsockopen)\(\"(udp|tcp)/i
pattern|600002|value|/Php(\s+)(\d+)(\s+)Terminator/i
pattern|600003|value|/[\$_GET|\$_REQUEST]\[\'rat\']/i
pattern|600004|value|/Tcp3(\s+)CC\.center/i
pattern|600005|value|/xdos\.s/i
pattern|600006|value|/儏摓煁晜泟/i
pattern|600007|value|/((FilemanagerModel\.php)|(\$qaz(\s*)=(\s*)\$qwe)|(include(\s*)\((\s*)([\"\']+)\/tmp\/)|(\$content_mb(\s*)=(\s*))|(file_get_contents(\s*)\((\s*)\$auth_role_admin(\s*)\)))/i
pattern|600008|value|/{__NOLAYOUT__}\?p{__NOLAYOUT__}h{__NOLAYOUT__}p/i
pattern|600009|value|/(\'|\"|\/)(byte|oteo)\.php(\'|\")/i
pattern|600010|value|/new(\s+)(G4J82458|CAQA)(\s*)\(/i
pattern|600011|value|/(jquey.cc|3sr3.cc|baize666.cc|phpddt.com|baidui.co|matomo.php|matomo.js)(\/|\"|\')/i
pattern|600012|value|/(@\^_\^@|\$@_@|@_@\!|(ক|খ|গ|ঘ|formatSizeUnits|\!isSearchEngine)|\<noscript\>(\s*)\<|(Create_Function|hellowordfunction|helloword_decode)|\$this-\>m4_l2\(\))/i
pattern|600013|value|/function(\s+)(httpGetlai|set_writeable)(\s*)\(/i
pattern|600014|value|/fromCharCode(\s*)\((\s*)104(\s*),(\s*)116(\s*),(\s*)116(\s*),(\s*)112(\s*),/i
pattern|600015|value|/gzinflate(\s*)\((\s*)base64_decode(\s*)\(/i
pattern|600016|value|/([^\w\-]*)eval(\s*)\((\s*)chr(\s*)\((\s*)(\d+)/i
pattern|600017|value|/([^\w\-]*)eval(\s*)\((\s*)(JkI|str_ireplace)(\s*)\(/i
pattern|600018|value|/([^\w\-]*)eval(\s*)\((\s*)\$payload(\s*)\)/i
pattern|600019|value|/pack(\s*)\(([\"\']+)H\*([\"\']+)(\s*),(\s*)str_rot13(\s*)\(/i
pattern|600020|value|/pack(\s*)\(([\"\']+)H\*([\"\']+)(\s*),(\s*)\$str/i
pattern|600021|value|/str_rot13(\s*)\(/i
pattern|600022|value|/chmod(\s*)\((\s*)\$this-\>upload_target_dir/i
pattern|600023|value|/\\x63\\x72\\x65\\x61\\x74\\x65\\x5f\\x66\\x75\\x6e\\x63\\x74\\x69\\x6f\\x6e/i
#高危漏洞
pattern|990001|value|/jQuery(\s*)(v)?(@)?(([0-2]+)\.\d+\.\d+)/i
pattern|990002|value|/jQuery(\s+)JavaScript(\s+)Library(\s+)v(([0-2]+)\.\d+\.\d+)/i
pattern|990010|value|/jQuery-预留/i

#-----------------------图片病毒特征-----------------------
imgpattern|600001|value|#file_put_contents#i
imgpattern|600002|value|#__HALT_COMPILER()#i
imgpattern|600003|value|#/script>#i
imgpattern|600004|value|#<([^?]*)\?php#i
imgpattern|600005|value|#<\?\=(\s+)#i
imgpattern|600006|value|#(\s+)language(\s*)=(\s*)("|\')?php("|\')?#i
imgpattern|600007|value|#filesize返回文件大小字节数为false#i

#-----------------------查杀后显示的文案-----------------------
msg|1|查看教程|value|程序里已发现有挂马情况，如有需要，请按教程进—步深度处理 (<a href="JavaScript:void(0);" data-href="https://www.eyoucms.com/plus/view.php?aid=5946&origin_eycms=1" onclick="openFullframe(this,'易优CMS如何查杀空间木马教程，仅供参考');">查看教程</a>) |opt_tips|有木马提示教程|
msg|100|多余文件|value|检测到多余文件，建议删除。|opt_del|删除|
msg|101|多余文件|value|检测到多余文件，建议删除。|opt_del|删除|
msg|110|多余目录|value|检测到存在安装目录，建议删除。|opt_del|删除|
msg|111|多余目录|value|检测到多余目录，建议删除。|opt_del|删除|
msg|600|疑似木马|value|检测到疑似木马文件，建议修复。|opt_replace|修复|
msg|601|疑似木马|value|检测到多余的疑似木马文件，建议删除。|opt_del|删除|
msg|990|高危漏洞|value|检测到jQuery低版本高危漏洞，建议修复（<a href="https://www.eyoucms.com/plus/view.php?aid=30093&origin_eycms=1" target="_blank">查看</a>）。|opt_see|https://www.eyoucms.com/plus/view.php?aid=30093&origin_eycms=1|
msg|991|高危漏洞|value|检测到多余的jQuery低版本高危漏洞，建议修复（<a href="https://www.eyoucms.com/plus/view.php?aid=30093&origin_eycms=1" target="_blank">查看</a>）。|opt_see|https://www.eyoucms.com/plus/view.php?aid=30093&origin_eycms=1|

#-----------------------其他规则-----------------------
#1001配合，指定2目录里，存在1扩展名的文件，视为多余文件
other|10010|value|php,php_read,asp,jsp
other|10011|value|/^(template|public|static|data\/(backup|conf|session|sqldata)([\w\-]*))\//i
other|10012|value|/^预留$/i
#忽略这些文件不进行匹配
other|10030|value|public/plugins/ckeditor/ckeditor.php,public/plugins/ckeditor/ckeditor_php4.php,public/plugins/ckeditor/ckeditor_php5.php
#与官方文件列表对比：在忽略这些目录后，检测其他目录是否存在多余文件
other|10031|value|/^(template|weapp|application\/(plugins)|data\/(conf|schema|runtime)([\w\-]*))\//i
#与官方文件列表对比：在特定目录里检测是否存在多余文件
other|10032|value|/^(weapp预留\/(预留1|预留2))\//i
#与官方文件列表对比：在忽略这些多余文件
other|10033|value|/^(public\/static\/admin\/(ico|login|loginbg|logo)\/(.+)\.(png|gif|jpg|jpeg|ico|bmp|webp))/i
#与官方文件夹对比：在特定目录属于官方文件夹
other|10034|value|/^(application|core|data|extend|install(_([\w]+))?|public|template|uploads|vendor|追加特定目录|weapp)\//i
#忽略内置整理的jquery版本，因为含有低版本号会被误判
other|10040|value|was removed in jQuery 1.12.0
other|10041|value|/^([\s\S]+)(was removed in jQuery 1.12.0|requires jQuery v1.3.2 or later)([\s\S]+)$/i
#允许递归读取文件夹的哪些文件
other|10050|value|/\.(php|php_read|htm|asp|jsp|bak|js|zip|rar|gz|png|gif|jpg|jpeg|ico|bmp|webp)$/i
other|10051|value|php,php_read,htm,asp,jsp,bak,js,zip,rar,gz,png,gif,jpg,jpeg,ico,bmp,webp
#删除文件时，只允许删除哪类文件，*表示所有，也可以指定扩展名，比如：php,asp,jsp,js,png等
other|10060|value|*
#1007系列配合，指定目录里，存在扩展名的图片，视为多余图片，同时忽略一些指定图片外
other|10070|value|png,gif,jpg,jpeg,ico,bmp,webp
other|10071|value|/^(application|core|extend|install([\w\-]*)|public\/(html)|data\/(backup|conf|model|schema|session|sqldata)([\w\-]*))\//i
other|10072|value|/^预留$/i
#uploads等图片目录里不能存在指定类型的文件
other|10080|value|php,php_read,asp,jsp,exe,js,jar,bat,html,htm
#1009配合，指定目录里（排除uploads、public/upload目录），存在9扩展名的压缩包，视为多余文件
other|10090|value|zip,rar,gz,exe
other|10091|value|/^(.*)\//i
other|10092|value|/^预留$/i