Декодировать вредоносное ПО, найденное на сервере, запутанное как массив символов в PHP

Сегодня я обнаружил вредоносное ПО на одном сайте, я, конечно, удалил его, и все в порядке, но чтобы понять, откуда оно взято, я хотел бы понять его логику, но оно закодировано в довольно Простой способ. В начале файла я вижу:

$i96="QU~T<`_YM82iAN>/v#s\"'q@tZFjJX6a\tcI)yS^boD.\$du|3\rWw=rC!;[4*P5LVkB?%19m:p7 -zK,gOl{Efx]0R}&h+\n\\(enGH"; 

Это используется тогда во всем остальном файле, как словарь символов, с этого момента, есть все назначения, подобные этому:

$GLOBALS['rpdxi45'] = $i96[94].$i96[51].$i96[51].$i96[39].$i96[51].$i96[6].$i96[51].$i96[94].$i96[70].$i96[39].$i96[51].$i96[23].$i96[11].$i96[95].$i96[77];

Кто-нибудь знает, как я могу расшифровать это (не заражая мой сервер, конечно), или, по крайней мере, имеет название этого типа шифрования? Просто чтобы узнать, смогу ли я найти что-то в Интернете.

Если кому-то интересно, могу выложить оставшуюся часть файла, я нашел это странным.

Обновление: файл на самом деле является вредоносной оболочкой. Если вы найдете его на своем сервере, удалите его и обратитесь к системному администратору.

1 ответ

Решение

Это запутывает фразу "error_reporting"

<?php
$i96="QU~T<`_YM82iAN>/v#s\"'q@tZFjJX6a\tcI)yS^boD.\$du|3\rWw=rC!;[4*P5LVkB?%19m:p7 -zK,gOl{Efx]0R}&h+\n\\(enGH";
echo $i96[94].$i96[51].$i96[51].$i96[39].$i96[51].$i96[6].$i96[51].$i96[94].$i96[70].$i96[39].$i96[51].$i96[23].$i96[11].$i96[95].$i96[77];

$GLOBALS['rpdxi45'] хранит строку, построенную из символов строки, содержащейся в $i96,

Вторя $GLOBALS['rpdxi45'] покажет вам строку, которая была построена.

Смотрите здесь: http://ideone.com/Jy1uty

Другие вопросы по тегам