Кажется, что код злоумышленника был закодирован base64 и gzipped.
Итак, сначала код декодируется из кодировки base64, а затем распаковывается в основном до строки кода.
И затем eval вызывается на результирующую строку, которая будет выполнять код, который был декодирован и распакован.
Но, не видя, какой код генерируется, трудно сказать, что он будет делать, когда код будет запущен.
Я декодировал закодированный текст. Используя следующий подход:
(Думаю, что писать в файл было плохой идеей сейчас, когда я думаю об этом. В основном, если вы в Windows. Я думаю, что это немного безопаснее в Linux, когда бит завершения отключен. Так что я был отчасти повезло в этом случае!)
<?php
$test = gzinflate(base64_decode("encoded_text"));
$myFile = "testFile.txt";
$fh = fopen($myFile, 'w');
fwrite($fh, $test);
fclose($fh);
Я написал вывод в файл только в случае, если был какой-то случайный HTML или Javascript, который может заразить компьютер, если я просто повторил его в своем браузере. Возможно, поэтому вы получили антивирусное предупреждение.
Я еще не уверен, что он делает.
Просто пробегая через код, который походит на 4750 строк кода, похоже, он устанавливает Basic Auth. И тогда есть много функций базы данных и некоторый базовый html-интерфейс. Это в PHP. Там также есть некоторые perl. Близко к концу.
По существу, это выглядит так: каждая страница, на которой отображается это изображение, выводит части этого кода и выполняет ее вместе с вашим кодом, и она попытается получить входные данные или попытаться найти данные сеанса и/или базы данных.
Затем другие части кода в основном создают интерфейс администратора, когда URL-адрес посещается следующим образом: url? Admin = 1, который вызывает аутентификацию Basic Auth. И тогда есть простой интерфейс phpmyadmin, такой как интерфейс, где пользователь может опробовать разные запросы и собрать метаданные о вашем db. Вероятно, другие вещи запускаются для exec и т. Д.
Я мог ошибаться, но это суть, которую я получаю от прохождения кода.
Он делает что-то злобное. Замените 'eval' на' echo' и посмотрите. Или, по крайней мере, опубликовать фактическую строку символов, чтобы мы могли ее декодировать. – DCoder
Возможный дубликат [Как декодировать eval (gzinflate (base64_decode (] (http://stackoverflow.com/questions/3701291/how-to-decode-eval-gzinflate-base64-decode) –
Глядя на сайт stackoverflow, я смущен чтобы увидеть, сколько людей не знают сайт под названием google –