今天我在一个网站上发现了一个恶意软件,我当然已经删除了它,一切都很好,但为了了解它的来源,我想了解它的逻辑,但它是以一种非常简单的方式编码的。在文件的开头,我看到:
$i96="QU~T<`_YM82iAN>/v#s'"'q@tZFjJX6a'tcI)yS^boD.'$du|3'rWw=rC!;[4*P5LVkB?%19m:p7 -zK,gOl{Efx]0R}&h+'n''(enGH";
这在文件的所有其他部分都被用作字符字典,从现在起,所有的赋值都是这样的:
$GLOBALS['rpdxi45'] = $i96[94].$i96[51].$i96[51].$i96[39].$i96[51].$i96[6].$i96[51].$i96[94].$i96[70].$i96[39].$i96[51].$i96[23].$i96[11].$i96[95].$i96[77];
有人知道我如何解码(当然不会感染我的服务器),或者至少知道这种加密的名称吗?只是想知道我是否能在网上找到什么。
如果有人感兴趣,我可以把剩下的文件发出来,我觉得很奇怪。
更新:该文件实际上是一个恶意的shell破解。如果在服务器上找到它,请将其删除并与系统管理员联系。
它混淆了短语"error_reporting"
<?php
$i96="QU~T<`_YM82iAN>/v#s'"'q@tZFjJX6a'tcI)yS^boD.'$du|3'rWw=rC!;[4*P5LVkB?%19m:p7 -zK,gOl{Efx]0R}&h+'n''(enGH";
echo $i96[94].$i96[51].$i96[51].$i96[39].$i96[51].$i96[6].$i96[51].$i96[94].$i96[70].$i96[39].$i96[51].$i96[23].$i96[11].$i96[95].$i96[77];
CCD_ 1存储由保持在CCD_ 2中的字符串的字符构成的字符串。
回声$GLOBALS['rpdxi45']将显示已构建的字符串。
请参见此处:http://ideone.com/Jy1uty