包含devil hack的php脚本
不幸的是,我遇到了一个很大的问题。我注意到在一个网站(反正不是我的)上有一个文件,上面有一个非常长的模糊字符串(超过70.000个字符):包含devil hack的php脚本,php,security,base64,eval,obfuscation,Php,Security,Base64,Eval,Obfuscation,不幸的是,我遇到了一个很大的问题。我注意到在一个网站(反正不是我的)上有一个文件,上面有一个非常长的模糊字符串(超过70.000个字符): eval(gzuncompress(base64_decode("CODE"))); 我想在我的个人电脑上对其进行本地除臭,但最后我决定使用许多在线除臭工具中的一种,使用惰性方法。当我点击“deobfousate”时,我就可以看到几秒钟的输出。从那一刻起,我似乎再也无法访问托管在线除臭剂的页面。例如,即使我可以正确浏览所有其他页面,我也无法打开此页面(连接
eval(gzuncompress(base64_decode("CODE")));
我想在我的个人电脑上对其进行本地除臭,但最后我决定使用许多在线除臭工具中的一种,使用惰性方法。当我点击“deobfousate”时,我就可以看到几秒钟的输出。从那一刻起,我似乎再也无法访问托管在线除臭剂的页面。例如,即使我可以正确浏览所有其他页面,我也无法打开此页面(连接中止):
就好像所有这些工具在我的电脑上的每个浏览器和用户帐户上都被禁止一样。只有极少数像MobileFish一样仍然可以访问:
但他们中没有人能处理我的请求。这就像这个php脚本是一个纯粹的恶魔。我想我的电脑在某种程度上受到了破坏,因为即使MalwareBytes和Avast都找不到任何有问题的东西,我也无法打开某些特定的网站。有什么想法吗?这个脚本做什么
在我负责的vBulletin论坛中注入恶意代码之前,我遇到过一些恶意代码。通常,这种恶意代码是在远程计算机上执行的,方法是将其作为一堆比特转储到机器上,然后设置为解码、解压缩,并按照您的建议进行评估 它可以做任何事 也许可以检查一下您的计算机的主机文件,看看是否有任何奇怪的条目会阻止您访问这些网页
C:\Windows\System32\drivers\etc\hosts
(假设您在Windows上。查找其中任何可疑的内容并将其删除。)
也可能是其中的某些东西阻止了您的防病毒软件运行,或者可能是没有实际的病毒负载,您只是让人重写了主机文件。该代码是通过网站上的某种其他漏洞放在那里的。这是一个未经消毒的PHP,运行起来有风险。它看起来像某种外壳,允许攻击者在托管它的服务器上运行某些命令/服务器场信息
代码已经被编码和压缩,
base64\u decode()
解码字符串,gzuncompress()
将其解压缩,然后eval()
(请参阅:邪恶)将运行字符串。我怀疑您是否被感染。代码是一种外壳,这对你找到它的网站来说无疑是个坏消息,但是查看代码字符串的简单行为不会影响你
您可以在此处看到deobed代码:
我所期望的是,您的防病毒软件会在您访问网页时扫描网页,并将除臭剂代码识别为恶意代码,从而切断与网站的连接
我想你的防病毒软件会将该网站标记为恶意,从而阻止以后访问该网站的尝试
如果我是正确的,您可能无法看到上面链接的pastebin页面
该解决方案针对您的AV程序。(此链接只是一个小粘贴,别担心)
第一次快速调查(我没有解码python部分)似乎尝试在wordpress&joomla admins中打开后门。尝试在php中使用fileputcontents将代码输出到文件中,以便您可以查看它,例如
@edmondscommerce即使您可以以可读格式获取代码,也可能会非常混乱。如果你幸运的话,你也许能猜到它在干什么。谢谢。我得到了它。这是一个经典的后门浏览文件,下载,上传,发送命令。。。很多东西。再次感谢,谢谢你的回答。这是一个后门。PC是好的,因为它只破解远程系统(例如Web服务器),而不破解客户端。。。至少不能直接上传,因为你仍然可以使用它上传可怕的病毒:P