@Kennius
Начинающий фронт-эндер

Чем закодирован данный shell?

Проверяя файлы на шелы нашёл файл который вообще не мой с закодированным содержимым чем это закодировано и кто сможет помочь понять что это делало?
https://yadi.sk/d/dt9V775vh5ZDf
  • Вопрос задан
  • 362 просмотра
Решения вопроса 1
prototype_denis
@prototype_denis
Symfony
Это больше почтальон, чем бэкдор

<?php

$file = file_get_contents(__DIR__ . '/themes.php');

#var_dump($file);
#exit();

$string = "jmiO@sxhFnD>J\r/u+RcHz3}g\nd{^8 ?eVwl_T\\\t|N5q)LobU]40!p%,rC-97k<'y=W:P\$1BI&S6\"E(K`Y~.Q;f[v2a#X*ZAGtM";

foreach(preg_split('//u', $string, -1, PREG_SPLIT_NO_EMPTY) as $k => $char) {
    $file = str_replace("\$z26[" . $k . "]", '"' . $char . '"', $file);
}
$file = str_replace('"."', '', $file);

preg_match_all("/GLOBALS(.*?)=(.*?);/sm", $file, $matches);

if (in_array('getmxrr', $matches[2])) {
    exit('Почтальон');
}

exit();
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@iliyaisd
Так сложно понять, но судя по наличию сокетных констант - пытается установить исходящее соединение. Предполагаю, что бэкдор.
Ответ написан
Dimd13
@Dimd13
Оно ни чем не закодировано, просто из символов в начале собираются функции как стандартные php так и пользовательские, а потом исполняются;
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы