eval(gzuncompress(base64_decode("CODE")));
我想在我的电脑上对其进行反混淆处理,但最后我决定使用许多在线反混淆工具之一的懒惰方式。一旦我点击“Deobfuscate”,我就能看到输出几秒钟。从那一刻起,我似乎无法再访问托管在线反混淆器的页面。例如,即使我可以正确浏览所有其他页面,我也无法打开此页面(连接已中止):
http://www.whitefirdesign.com/tools/deobfuscate-php-hack-code.html
就好像所有这些工具都在我的PC上被禁止在每个浏览器和用户帐户上。其中只有少数仍然可以像MobileFish一样访问:
http://www.mobilefish.com/services/eval_gzinflate_base64/eval_gzinflate_base64.php
但他们中没有人能够处理我的请求。这就像这个PHP脚本是一个纯粹的恶魔。我想我的PC已经以某种方式受到了损害,因为即使MalwareBytes和Avast都找不到任何蠕虫,我也无法打开某些特定的网站。有任何想法吗?这个脚本的作用是什么?
答案 0 :(得分:2)
该代码已经通过网站上的某种其他漏洞进行了处理。这是反混淆的PHP,运行你自己的危险。它看起来像某种shell,允许攻击者在托管的服务器上运行某些命令/服务器信息
https://gist.github.com/jtylr/4fd6240ddcd046e62535
代码已经过编码和压缩,base64_decode()对字符串进行解码,gzuncompress()对其进行解压缩,eval()(请参阅:evil)将运行该字符串。
答案 1 :(得分:0)
我遇到了一些恶意代码,然后才被注入我负责的一些vBulletin论坛。一般来说,这个恶意代码是在远程机器上执行的,它被作为一堆叮咬被转储到盒子上,然后设置为按照你所拥有的行的建议进行解码,解压缩和评估。
它可以做任何事情。
也许检查您机器的主机文件,看看是否有任何奇怪的条目可能会阻止您访问这些网页。
C:\Windows\System32\drivers\etc\hosts
(假设你在Windows上。在那里寻找可疑的东西并将其删除。)
也可能是阻止您的防病毒软件运行的东西,或者可能是没有传递实际的病毒载量,而且您只是重写了主机文件。
答案 2 :(得分:0)
我怀疑你是否被感染了。代码是某种shell,对于你发现它的网站来说肯定是坏消息,但查看代码字符串的简单行为不会对你产生影响。
您可以在此处查看已退出的代码:http://pastebin.com/QDvnAzZw
我期望发生的事情是您的防病毒软件会在您访问网页时对其进行扫描,并将已解密的代码视为恶意代码,从而切断与该网站的连接。
我认为该网站会被您的防病毒软件标记为恶意网站,从而阻止以后尝试访问该网站。
如果我是正确的,您可能无法看到上面链接的pastebin页面。
该解决方案特定于您的AV程序。
答案 3 :(得分:0)
here is the decoded malicious code(这个链接很小,不用担心)
第一次快速调查(我没有解码python部分)似乎尝试在wordpress&中打开后门。 joomla admins。