Итак, есть строка. Он кодируется gzipped и base64, и код декодирует base64, а затем распаковывает его.
Когда это сделано, я привел с этим:
<? eval(base64_decode('...')); ?>
Другой слой base64, который имеет длину 720440 байт.
Теперь, base64 расшифровывает, что у нас есть 506961 байт кода эксплойта.
Я все еще изучаю код и обновляю этот ответ, когда у меня больше понимания. Код огромен.
Тем не менее чтение через код, и (очень хорошо сделано) эксплуатируют позволяет эти инструменты подвергаться хакера:
- Настройка TCP бэкдор
- несанкционированный доступ к оболочке
- чтение всех Htpasswd, HTAccess, пароль и файлы конфигурации
- журнал протирания
- доступа MySQL (чтение, запись)
- Append код для всех файлов, соответствующих шаблону имен (масса эксплуатируют)
- RFI/LFI сканер
- UDP флуд
- информация ядра
Это, вероятно, является профессиональным PHP-сервер, основанный на масштабах использовать инструментарий, и видя, что у него есть хороший HTML-интерфейс и вся его партия, его можно легко использовать про-хакером или даже скриптом kiddie.
Этот эксплойт называется c99shell
(спасибо Yi Jiang), и, оказывается, он довольно популярен, об этом говорят и работают уже несколько лет. В Google для этого эксплойта есть много результатов.
Можно ли для вас Я не могу открыть эту ссылку. Я не могу открыть эту ссылку .. – jyz
Я боюсь, что она выполнена. :(Кстати, вы можете распаковать ее, но не оценивайте ее. – fabrik
@jyzuz: Код огромен. – fabrik