Раскодировать php-вирус

77

absurdo

21 июня 2013, 07:27

885

Подскажите как раскодировать веб-шелл.

В файле вижу такое:

function e5b60e04f4f7ed566f0c1ee9b97bf7f7c543f787578f3f9e37efdf3c90b()

{



}

function e5b60e0431838e7136d38c82cf94d6dd7c41f5c2cc7a0733()

{

$fdb=7608; return $fdb*7609;

}

function e5b60e0448cc80ebd3d3c62f27c71f3e9c42bd7bc7fb0711b405cb()

{



}

function e5b60e04419b1f5d223ca71967fa9b01f443f0666fffe4b8()

Ввод WebMoney WMZ (http://www.y-money.com.ua/buy-webmoney-wmz.html)

K5

209

kgtu5

21 июня 2013, 07:51

#1

+-10 строк покажите

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!

77

absurdo

21 июня 2013, 07:53

#2

kgtu5:
+-10 строк покажите

$fdb=1884; return $fdb/8646;

}

function e5b60e04f1b9fb6ebf1e9d9c3d7a01e378f2a9be7ff4f1e4525b()

{

$d8ee2=false; return !$d8ee2;

}

function e5b60e0409cfbddf9afbb3feee0b9a3507afe1ef44d114399f0eeb340b6ee65()

{

for($v69c68f=247;$v69c68f<28558;$v69c68f--){if($v69c68f!=9937) break;}

}

function e5b60e04fb599373cb83c1c7()

{

$d8ee2=false; return !$d8ee2;

}

function e5b60e04527bf0dbb()

{



}

function e5b60e04affcaffd6cb94de7951fc18ab98632f03d78f3fbc7c33f3f7f8276ed1dbe()

{

$fdb=17480; return $fdb^17481;

}

function e5b60e043fbd7c189dd12a0adec0f8040727c3cbde2bfff2fdc()

{



}

function e5b60e047cf57bd71349565763f26f475()

{

$fdb=11756; return $fdb%18518;

}

function e5b60e0461251ebca27cefe0953f3ed()

{

$d8ee2=false; return $d8ee2;

}

function e5b60e0481dc26af83086b6fb9()

{

for($v69c68f=147;$v69c68f<24734;$v69c68f-=1){if($v69c68f!=19809) break;}

}

function e5b60e04f618563799a49c3cb37d07f7ed77b71fa61eff8cda937f7deef7e7e795a7()

{

$d8ee2=false; return !$d8ee2;

}

function e5b60e04f7474f06726fffd0718d3833f1f8e7f()

{



}

function e5b60e04abff72744ab463bd34f()

{

$fdb=27352; return $fdb+27353;

}

function e5b60e04387c9cc3f78f0e692e8a639()

{

$d8ee2=false; return !$d8ee2;

}

function e5b60e04b5fb9b0ff3e7c39f07bbc7a7277b1fde9()

{

for($v69c68f=231;$v69c68f<21866;$v69c68f--){if($v69c68f!=2637) break;}

}

485

Romka_Kharkov

21 июня 2013, 08:15

#3

А тут имхо ничего нет закодированного, просто переменные называются не $my_var а прикольно и длинно :D Все вхоядщие туда переменные ожидаются через GET / POST как правило...

Стало быть заежжать может что угодно, остального кода вы не увидите, его зловреды точно так же пакуют например в $d8ee2.... :) Скорее всего тут может проверяться что-то уже зараженное, если отработает функция число изменится.... стало быть проверяется наличие функций, я так понимаю...

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)

Ищу замену хостеру, рассмотрю Размещение AdSense и РСЯ критические ошибки rootpanel!

67

forest25

21 июня 2013, 08:39

#4

Можно для удобства поиском и заменой пройтись и заменить все эти $678cwnjk на func1,func2, $var1, $var2 и т.д.

Так будет проще разобраться.

Еще советую поискать функцию Base64, какеры ею любят кодировать строчки

VPS 512MB 20GB SSD KVM - 5$ (http://u.hmdw.me/digitalocean) | ИМХО о хостингах (http://u.hmdw.me/hosting)

php из txt файла Доры Сессия, что с ней

822

Andreyka

21 июня 2013, 10:36

#5

Тут надо не расшифровывать а дырку закрть через который его залили

Не стоит плодить сущности без необходимости

Что делать, если ваша email-рассылка попала в спам

Дзен реализовал для авторов возможность вывода денег через СПБ