首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Coding
V2EX  ›  PHP

中了一段疑似 PHP 木马。

  •  
  •   GPU · 2017-07-12 15:17:38 +08:00 · 3227 次点击
    这是一个创建于 884 天前的主题,其中的信息可能已经有所发展或是发生改变。
    22 回复  |  直到 2017-07-13 15:31:00 +08:00
        1
    zjsxwc   2017-07-12 15:29:56 +08:00
    这么多问号。。肯定 php 语法错误了,你确定是原文件?
        2
    GPU   2017-07-12 15:32:16 +08:00
    @zjsxwc #1 vps 上面 复制下来的 , 在一个 cache 的文件夹. windows 的.
        3
    zjsxwc   2017-07-12 15:43:10 +08:00
    @GPU

    能发下原文件吗
        4
    GPU   2017-07-12 15:48:12 +08:00
    @zjsxwc #3 刚登录上 vps 看了一遍源文件就是这样子,用 notepad ++ 打开看过
        5
    kikyous   2017-07-12 15:53:31 +08:00
    编码出问题了吧
        6
    BoiledEgg   2017-07-12 15:59:10 +08:00
    可能是编码问题
        7
    GPU   2017-07-12 15:59:14 +08:00
    @kikyous #5 不清楚, 另一个管理看到后说直接删了 ,删了还查个毛. 剩下这个乱码的.

    散吧
        8
    imnpc   2017-07-12 16:03:46 +08:00
    这是混淆加密过的代码 必须拿源文件二进制的 可以到解密网站上解密出来
        9
    ajan   2017-07-12 16:10:04 +08:00
    木马
        10
    hiboshi   2017-07-12 17:05:27 +08:00
    看到 eval 就知道了,可能就是木马
        11
    xzem   2017-07-12 18:18:44 +08:00 via Android
    难道是用全角问号做变量名和方法名
        12
    lshero   2017-07-12 18:46:08 +08:00
    这种混淆太恶心了,以前还可以一层一层的手解。这种的一编辑字符集编码就乱了然后文件自己就损毁了
        13
    GPU   2017-07-12 20:07:36 +08:00
    @imnpc #8 二进制不知道哪里找了.
        14
    ditel   2017-07-12 20:24:23 +08:00 via Android
    这就是一段木马啊,变量就是这样的,没看出来有些都是正常的吗?
        15
    GPU   2017-07-12 21:18:18 +08:00
    @ditel #14 看了来了有几个疑似是密码之类的字符串, 变量赋值之类
        16
    mingyun   2017-07-12 23:24:46 +08:00
    代码加密处理了吧
        17
    jhdxr   2017-07-12 23:58:02 +08:00
    这个真不一定是木马之类的,很久以前流行过一段时间这种 PHP 『加密』方法。本质就是把各种变量函数之类的替换为不可读的字符,以及用 eval / 可变函数 / 各种编码来达到混淆的效果。。。
        18
    yangqi   2017-07-13 00:06:00 +08:00
    很明显的木马,不过在 windows 的 cache 文件夹没啥作用,不用担心
        19
    GPU   2017-07-13 00:27:47 +08:00
    @yangqi #18 不是在 Windows 的 Cache 的 ,而是在网站程序的 cache 里面.
        20
    evil4ngl3   2017-07-13 08:45:51 +08:00   ♥ 1
    应该是的,黑客采用 ASCII 码(129-255)之间的字符来加密,造成代码不可读。参考地址 http://www.cnblogs.com/LittleHann/p/3522990.html
    https://www.srevilak.net/wiki/images/4/4f/Wordpress-p0wn.pdf
    根据能够识别的关键字“ b3Jk ”、“ c3RybGVu ”等,google 到的。
        21
    evil4ngl3   2017-07-13 08:52:18 +08:00
    但是你传的好像问题,保存成 PHP 解析报错了。
        22
    cowpea   2017-07-13 15:31:00 +08:00   ♥ 1
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2637 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 27ms · UTC 11:32 · PVG 19:32 · LAX 03:32 · JFK 06:32
    ♥ Do have faith in what you're doing.