[英]Need help to deobfuscate malicious PHP malicious file
我最近在我的 WP 安裝中發現了一個 plugin.php 在執行的插件中,幸運的是返回了一些錯誤。
這些文件以:
<?php
/**
* Author: plugin
* License: GPL v2 or later
* License URI: https://www.gnu.org/licenses/gpl-2.0.html
* Plugin Name: Plugin
* Requires PHP: 5.4
* Requires at least: 5.0
* Text Domain: plugin
* Version: 1.0
*/
if ( ! defined( 'ABSPATH' ) ) {
exit();
}
#¾êºÐý½s4+{œîÇê7ÀTG4î8TlŸþ§àU,åœàJ›ÒK.-èÒÃåbÀ¢žÇŒ±¤ùâÕDÑ!ò¡,÷YÛIŠ:£‘%½DF¶…àõzejXhøÑ_Ó—'þ6wNƆŽh•ÙB¾kn5J¥ðëÒˆ+1eÀ\¶xVÎïFÃã—aÊŨ±WAÄ®€>©áBPìXÄW1£@A3æ|ˆé§‚‰À°j„øÈUʶ„k'ÕüÒ¿.é¾}¾4óÍz„ßœønœâé.6Z"vz¦_ÅÕ+—Z7‹ ÷Ó†Étͣ˛⩋wÓ"=£h6íÞéBB /*%0ÕH‘%0.4‡?.ňuÀÀƒDFÌ!úé•6!ßNnRüôÅ•þÞÊNº.$H‘óÏ¿†y•³!Š7àx»Ñ´<ö~Þ|l}ì1²G'RÖº¤mQr»Ÿ3êßUëü•ùÑ@à»Yt²¼42ŽOy4z·–ïÄ‹^«î {ýFVD5¬ˆ_$7çyV8>í¹µÒ7OòžN’…3O¢àÐåF×ß~ÉÅù¿€IØälpŽwÝÌ7\ Š¿@CÜ¡•KßnÚV‚Å9äq˜ÞynˆßÿKEIk¯nÆ•RÄŒn1e16;L5›ËÍYð5g˜œ*/
並繼續。 我懷疑這里涉及 HEX + eval + gzip。
我該怎么做才能知道這個文件在做什么?
這是完整文件的鏈接
我嘗試了一些在線工具,但沒有得到任何提示
您能否確認如果您下載的 PasteBin 文件與您找到的文件完全匹配? 刪除注釋后,代碼似乎確實是:組裝一個字符串數組; 將字符串連接在一起; 嘗試使用 gzinflate 解壓縮結果; 如果 gzinflate 沒有因無效數據而失敗,然后將評估結果。
原始字符串中有許多特殊字符,所以我想知道復制粘貼到 PasteBin、PasteBin 提供的渲染,或者我從那里下載的內容是否做了一個小改動,破壞了壓縮后的 stream。
我也會繼續關注它,但這里有一些處理混淆的想法:
/\*.*?\*/
的惰性正則表達式
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.