Декодировать вредоносное ПО, найденное на сервере, запутанное как массив символов в PHP
Сегодня я обнаружил вредоносное ПО на одном сайте, я, конечно, удалил его, и все в порядке, но чтобы понять, откуда оно взято, я хотел бы понять его логику, но оно закодировано в довольно Простой способ. В начале файла я вижу:
$i96="QU~T<`_YM82iAN>/v#s\"'q@tZFjJX6a\tcI)yS^boD.\$du|3\rWw=rC!;[4*P5LVkB?%19m:p7 -zK,gOl{Efx]0R}&h+\n\\(enGH";
Это используется тогда во всем остальном файле, как словарь символов, с этого момента, есть все назначения, подобные этому:
$GLOBALS['rpdxi45'] = $i96[94].$i96[51].$i96[51].$i96[39].$i96[51].$i96[6].$i96[51].$i96[94].$i96[70].$i96[39].$i96[51].$i96[23].$i96[11].$i96[95].$i96[77];
Кто-нибудь знает, как я могу расшифровать это (не заражая мой сервер, конечно), или, по крайней мере, имеет название этого типа шифрования? Просто чтобы узнать, смогу ли я найти что-то в Интернете.
Если кому-то интересно, могу выложить оставшуюся часть файла, я нашел это странным.
Обновление: файл на самом деле является вредоносной оболочкой. Если вы найдете его на своем сервере, удалите его и обратитесь к системному администратору.
1 ответ
Это запутывает фразу "error_reporting"
<?php
$i96="QU~T<`_YM82iAN>/v#s\"'q@tZFjJX6a\tcI)yS^boD.\$du|3\rWw=rC!;[4*P5LVkB?%19m:p7 -zK,gOl{Efx]0R}&h+\n\\(enGH";
echo $i96[94].$i96[51].$i96[51].$i96[39].$i96[51].$i96[6].$i96[51].$i96[94].$i96[70].$i96[39].$i96[51].$i96[23].$i96[11].$i96[95].$i96[77];
$GLOBALS['rpdxi45']
хранит строку, построенную из символов строки, содержащейся в $i96
,
Вторя $GLOBALS['rpdxi45']
покажет вам строку, которая была построена.
Смотрите здесь: http://ideone.com/Jy1uty