Подскажите, плз, по nginx!

Есть запросы к сайту такого вида:

/index.php/topic.109806.msg40759.html#msg40759
/index.php/topic.108936.0.html
/index.php/board.1.0.html

Надо чтобы происходила такая замена:

topic. -> topic,
board. -> board,

Подскажите, как оформить такую регулярку в nginx?

Всем привет!

Пару дней назад на виртуалке (CentOS release 6.6 (Final), nginx+apache+mysql+php) обнаружилась проблема. Запускаются левые процессы и рассылают спам прямым подключением к почтовым серверам. Процессы выглядят так: 8373 apache 20 0 39936 5212 1096 S 1.3 0.1 0:09.28 httpd.pl <br/> 8374 apache 20 0 39936 5216 1096 S 1.3 0.1 0:09.39 httpd.pl

8399 apache 20 0 40024 5016 908 S 1.0 0.1 0:00.43 httpd.pl

И так: apache 8373 2.6 0.1 39936 5212 ? Ss 08:29 0:09 proc apache 8374 2.6 0.1 39936 5216 ? Ss 08:29 0:09 proc

по netstat -anp видны их подключения к внешним почтовый серверам. Один из процессов так же открывает порт tcp:27451 на прослушивание. Делал lsof для этих процессов - видно только использование perl и его библиотек. На другие файлы ссылок не нашел.

Поискав недавние созданные файлы от пользователя apache нашел бинарник в /var/tmp и запись в кроне /var/spool/cron/apache: */10 * * * * /var/tmp/TahOEHFvXb >/dev/null 2>&1

Кому интересно вот архив с бинарником https://dl.dropboxusercontent.com/u/757649/_virus.zip

На сервере несколько сайтов на wordpress (уже обновил их), на modx evo, несколько самописных.

Собственно вопрос: как найти где пролез вирус? Чтобы это дело прикрыть и чтобы больше не повторялось. Может что-то искать в логах? Искать еще какие-то созданные файлы или как?