攻撃者のコードのように見えるのは、base64でエンコードされ、gzipされています。
まず、コードはbase64エンコーディングからデコードされ、その後コードの文字列まで基本的に解凍されます。
そして、結果の文字列に対してevalが呼び出され、解読され解凍されたコードが実行されます。
しかし、どのコードが生成されるのか見ることなく、コードの実行時にどのようなコードが実行されるのかは分かりません。
私はコード化されたテキストをデコードしました。次のアプローチを使用して
(私はそれを考えると悪い考えであったと思いますが、主にWindowsを使用している場合は、実行ビットをオフにしてLinuxで少し安全です。だから私は、この場合には種のラッキーでした!)
<?php
$test = gzinflate(base64_decode("encoded_text"));
$myFile = "testFile.txt";
$fh = fopen($myFile, 'w');
fwrite($fh, $test);
fclose($fh);
私はちょうど私のブラウザにそれをエコー場合は私のコンピュータに感染する可能性がいくつかのランダムなHTMLやJavaScriptがあった場合だけでファイルに出力を書きました。そのため、ウイルス対策の警告が出された可能性があります。
まだ何が行われているのかわかりません。
4,750行のコードのようにコードをスキップするだけで、基本認証が設定されているようです。そして、データベース機能と基本的なhtmlインタフェースがたくさんあります。 PHPでこれ。またperlもあります。終わり近く。
基本的には次のようになります:画像が表示されているすべてのページは、コードの一部を出力してコードと共に実行し、入力データを取得しようとしますか、セッションデータを検索しようとしますおよび/またはデータベース値。
次に、コードの他の部分は、urlが次のように訪問されたときに基本的に管理インタフェースを作成します。url?admin = 1。これはBasic Auth認証を起動します。そして、ユーザが異なるクエリを試して、あなたのdbに関するメタデータを集めることができるインタフェースのような、単純なインタフェースphpmyadminがあります。おそらく他のものがexecなどに走っているでしょう。
私は間違っている可能性がありますが、それはコードを通過することから得られる要点です。
悪意のあるものを実行します。 'eval'を' echo'に置き換えて見てください。または、実際の文字列を少なくともデコードできるように投稿してください。 – DCoder
の可能な複製[eval(gzinflate(base64_decode()(http://stackoverflow.com/questions/3701291/how-to-decode-eval-gzinflate-base64-decode)をデコードする方法 –
私は急いでいるどのくらい多くの人々がGoogleと呼ばれるサイトの考えを持っていないかを確認する –