中了一段疑似 PHP 木马。

2017-07-12 15:17:38 +08:00
 GPU
这是混淆了吗?

https://gist.github.com/anonymous/b86bed1efad440a59678f2e7de144436
4286 次点击
所在节点    PHP
22 条回复
zjsxwc
2017-07-12 15:29:56 +08:00
这么多问号。。肯定 php 语法错误了,你确定是原文件?
GPU
2017-07-12 15:32:16 +08:00
@zjsxwc #1 vps 上面 复制下来的 , 在一个 cache 的文件夹. windows 的.
zjsxwc
2017-07-12 15:43:10 +08:00
@GPU

能发下原文件吗
GPU
2017-07-12 15:48:12 +08:00
@zjsxwc #3 刚登录上 vps 看了一遍源文件就是这样子,用 notepad ++ 打开看过
kikyous
2017-07-12 15:53:31 +08:00
编码出问题了吧
BoiledEgg
2017-07-12 15:59:10 +08:00
可能是编码问题
GPU
2017-07-12 15:59:14 +08:00
@kikyous #5 不清楚, 另一个管理看到后说直接删了 ,删了还查个毛. 剩下这个乱码的.

散吧
imnpc
2017-07-12 16:03:46 +08:00
这是混淆加密过的代码 必须拿源文件二进制的 可以到解密网站上解密出来
ajan
2017-07-12 16:10:04 +08:00
木马
hiboshi
2017-07-12 17:05:27 +08:00
看到 eval 就知道了,可能就是木马
xzem
2017-07-12 18:18:44 +08:00
难道是用全角问号做变量名和方法名
lshero
2017-07-12 18:46:08 +08:00
这种混淆太恶心了,以前还可以一层一层的手解。这种的一编辑字符集编码就乱了然后文件自己就损毁了
GPU
2017-07-12 20:07:36 +08:00
@imnpc #8 二进制不知道哪里找了.
ditel
2017-07-12 20:24:23 +08:00
这就是一段木马啊,变量就是这样的,没看出来有些都是正常的吗?
GPU
2017-07-12 21:18:18 +08:00
@ditel #14 看了来了有几个疑似是密码之类的字符串, 变量赋值之类
mingyun
2017-07-12 23:24:46 +08:00
代码加密处理了吧
jhdxr
2017-07-12 23:58:02 +08:00
这个真不一定是木马之类的,很久以前流行过一段时间这种 PHP 『加密』方法。本质就是把各种变量函数之类的替换为不可读的字符,以及用 eval / 可变函数 / 各种编码来达到混淆的效果。。。
yangqi
2017-07-13 00:06:00 +08:00
很明显的木马,不过在 windows 的 cache 文件夹没啥作用,不用担心
GPU
2017-07-13 00:27:47 +08:00
@yangqi #18 不是在 Windows 的 Cache 的 ,而是在网站程序的 cache 里面.
evil4ngl3
2017-07-13 08:45:51 +08:00
应该是的,黑客采用 ASCII 码(129-255)之间的字符来加密,造成代码不可读。参考地址 http://www.cnblogs.com/LittleHann/p/3522990.html
https://www.srevilak.net/wiki/images/4/4f/Wordpress-p0wn.pdf
根据能够识别的关键字“ b3Jk ”、“ c3RybGVu ”等,google 到的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/374803

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX