设为首页收藏本站
切换到宽版

全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 被挂马,帮忙解密这个php文件,高手!! ...
IP归属甄别会员请立即修改密码
12下一页
返回列表 发新帖
查看: 2370|回复: 10
打印 上一主题 下一主题

被挂马,帮忙解密这个php文件,高手!!

[复制链接]
ali727
跳转到指定楼层
1#
发表于 2014-8-9 12:27:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
abouttus.zip (21.66 KB, 下载次数: 783)


在网站目录下多了这个文件 abouttus.php,貌似加密了。

高手,帮忙解密看看,查找一下原因。

谢谢!
回复

举报

psdshow
2#
发表于 2014-8-9 12:33:21 | 只看该作者
禁用base64_decode eval函数
回复 支持 反对

举报

psdshow
3#
发表于 2014-8-9 12:36:44 | 只看该作者
这个只是马 解密这个有毛用
只是0和o混淆了一下
回复 支持 反对

举报

ali727
4#
 楼主| 发表于 2014-8-9 12:45:39 | 只看该作者
psdshow 发表于 2014-8-9 12:33
禁用base64_decode eval函数

根源在哪里?
回复 支持 反对

举报

ali727
5#
 楼主| 发表于 2014-8-9 12:47:27 | 只看该作者
psdshow 发表于 2014-8-9 12:36
这个只是马 解密这个有毛用
只是0和o混淆了一下

要怎么处理?
回复 支持 反对

举报

psdshow
6#
发表于 2014-8-9 12:50:54 | 只看该作者
看看自己的程序里面有没有用到base64_decode 没有就禁掉
eval也看看 如果没有用到也禁掉
这样这个马就失效了
但最关键的是找出被挂马的源头
回复 支持 反对

举报

ali727
7#
 楼主| 发表于 2014-8-9 12:54:32 | 只看该作者
psdshow 发表于 2014-8-9 12:50
看看自己的程序里面有没有用到base64_decode 没有就禁掉
eval也看看 如果没有用到也禁掉
这样这个马就失效 ...

就是咯,找出这个马的源头,不然留着后门,说不定下次又遭殃。
回复 支持 反对

举报

psdshow
8#
发表于 2014-8-9 13:18:24 | 只看该作者
ali727 发表于 2014-8-9 12:54
就是咯,找出这个马的源头,不然留着后门,说不定下次又遭殃。

这就是你要的解密后的数据

jiemi.zip (10.39 KB, 下载次数: 878)
回复 支持 反对

举报

psdshow
9#
发表于 2014-8-9 13:20:56 | 只看该作者
本帖最后由 psdshow 于 2014-8-9 13:22 编辑

前面eval之前的那段其实是定义了几个函数名称,用eval来解析成可执行的,
eval这个函数具有极大的危险性

  1. <?php
  2. $O00OO0='n1zb/ma5\vt0i28-pxuqy*6lrkdg9_ehcswo4+f37j';
  3. $O00O0O='base';
  4. $O0OO00='strtr';
  5. $OO0O00='substr';
  6. $OO0000='52';
  7. $O00O0O='base64_decode';
复制代码


后面的内容是通过
base64_decode解码
strtr替换
substr截取
回复 支持 反对

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2026-2-20 23:10 , Processed in 0.079710 second(s), 12 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表