少し難読化されていますが、難読化を解除しました。関数 flnftovr は、文字列と配列を引数として取ります。式
を使用して、新しい文字列 $ggy を作成します。isset($array[$string[$i]]) ? $array[$string[$i]] : $string[$i];}
次に、文字列の先頭に base64_decode を追加します。
文字列は $s、配列は $koicev です。次に、この操作の結果を評価します。したがって、最終的に文字列が作成されます:
base64_decode(QGluaV9zZXQoJ2Vycm9yX2xvZycsIE5VTEwpOwpAaW5pX3NldCgnbG9nX2Vycm9ycycsIDApOwpAaW5pX3NldCgnbWF4X2V4ZWN1dGlvbl90aW1lJywgMCk7CkBzZXRfdGltZV9saW1pdCgwKTsKCmlmKGlzc2V0KCRfU0VSVkVSKfZW5jb2RlKHNlcmlhbGl6ZSgkcmVzKSk7Cn0=)
サーバー上で実際に実行されるのは次のとおりです。
@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@set_time_limit(0);
if(isset($_SERVER)
encode(serialize($res));
}
これを作成したのではなく、サイトがハッキングされている疑いがある場合は、サーバーを消去し、サーバーで実行されているアプリの新しいインストールを作成することをお勧めします.
PHP ファイルの名前を php.suspected に変更する 通常、ハッカーのスクリプトによって意図され実行されます。ファイル拡張子を変更して、ファイルがマルウェア対策ソフトウェアによってチェックされ、安全であり、実行できないという印象を与えます。しかし、実際にはそうではありません。彼らは、スクリプトを呼び出したいときはいつでも拡張子を「php」に変更し、その後、拡張子を「疑わしい」に戻します。これについては、Securi Research Labs で読むことができます
この投稿は古いかもしれませんが、トピックはまだ生きています。特に 2019 年 6 月の WordPress プラグインを標的としたマルウェア キャンペーンによると、.クライアントの WordPress サブディレクトリに「疑わしい」ファイルがいくつか見つかりました (例:wp-content)
.php の名前変更 ファイルを .php.suspected に 今日も起こり続けています。次のコマンドは、何かを思い付くべきではありません:
find <web site root> -name '*.suspected' -print
find <web site root> -name '.*.ico' -print
私の場合、感染したファイルは次のコマンドで見つけることができました:
cd <web site root>
egrep -Rl '\$GLOBALS.*\\x'
egrep -Rl -Ezo '/\*(\w+)\*/\s*@include\s*[^;]+;\s*/\*'
egrep -Rl -E '^.+(\$_COOKIE|\$_POST).+eval.+$'
問題の詳細な説明と GitHub での対処方法を用意しました。