Как декодировать вредоносный скрипт?

Question

[sputnickk]

Всем привет! Ребят подскажите как определить источник вируса.

Есть хостинг, на нем есть 3 WP сайта, и с некой периодичностью в файле index.phpкорня одного из сайтов появляется такая вставка:

@include "\****\167w\***\141n\144o\162_\154i\1562\*\1544e\1646k\*\1643t\0456c\157m\057w\160-\141d\155i\156/\156e\164w\157r\153/\056c\0658\1457\0711\063.\151c\157";

этот код я декодирую с помощью https://malwaredecoder.com/ и вижу путь с вирусному файлу, содержимое которого - https://i.imgur.com/dkslnSo.png

а вот эти символы - проценты, цифры я уже никак не смог декодировать, вроде бы похожи на URL декодированный, но нет. Я так понимаю функция этого файла состоит в создании потом в корне сайтов вот таких рандомных файлов - start34.php с содержимым - https://i.imgur.com/Hsyusb8.png То есть вредительство состоит из таких трех частей.

Пробовал все сайты загружать локал и проходиться по ним evisium.com/kb/scan_site_windows.html массу всего находило, удалял, но все равно появляется эта дрянь. Дампы баз выгружал, искал вхождение base64 и Evil, но базы чистые

Comments

[Robur]

вы хотите чтобы вам по куску кода на скриншоте это декодировали? выкладывайте полный код в нормальном виде.
А вообще - там есть preg_replace и rawurldecode, возможно меняют какие-то символы чтобы ссылка не декодировалась, но на самом деле она и есть. Не должно быть труда открыть это в редакторе и разобрать логику.

Answer 1

[lamer350]

Вручную вы это все не отследите, идите на virudie, просканируйте все файлы