需要幫助反混淆惡意 PHP 惡意文件

Question

我最近在我的 WP 安裝中發現了一個 plugin.php 在執行的插件中，幸運的是返回了一些錯誤。

這些文件以：

<?php

/**
 * Author: plugin
 * License: GPL v2 or later
 * License URI: https://www.gnu.org/licenses/gpl-2.0.html
 * Plugin Name: Plugin
 * Requires PHP: 5.4
 * Requires at least: 5.0
 * Text Domain: plugin
 * Version: 1.0
 */

if ( ! defined( 'ABSPATH' ) ) {
    exit();
}


 #¾êºÐý½s4+{œîÇê7ÀTG4î8TlŸþ§àU,åœàJ›ÒK.-èÒÃåbÀ¢žÇŒ±¤ùâÕDÑ!ò¡,÷YÛIŠ:£‘%½DF¶…àõzejXhøÑ_Ó—'þ6wNƆŽh•ÙB¾kn5J¥ðëÒˆ+1eÀ\¶xVÎïFÃã—aÊŨ±WAÄ®€>©áBPìXÄW1£@A3æ|ˆé§‚‰À°j„øÈUʶ„k'ÕüÒ¿.é¾}¾4óÍz„ßœønœâé.­6Z"vz¦_ÅÕ+—Z7‹ ÷Ó†Étͣ˛⩋wÓ"=£h6íÞéBB    /*%0ÕH‘%0.4‡?.ňuÀÀƒDFÌ!úé•6!ßNnRüôÅ•þÞÊNº.$H‘óÏ¿†y•³!Š7àx»Ñ´<ö~Þ|l}ì1²G'RÖº¤mQr»Ÿ3êßUëü•ùÑ@à»Yt²¼42ŽOy4z·–ïÄ‹^«î {ýFVD5¬ˆ_$7çyV8>í¹µÒ7OòžN’…3O¢àÐåF×ß~ÉÅù¿€IØälpŽwÝÌ7\ Š¿@CÜ¡•KßnÚV‚Å9ä­q˜ÞynˆßÿKEIk¯nÆ•RÄŒn1e16;L5›ËÍYð5g˜œ*/

並繼續。 我懷疑這里涉及 HEX + eval + gzip。

我該怎么做才能知道這個文件在做什么？

這是完整文件的鏈接

https://pastebin.com/redDEFJM

我嘗試了一些在線工具，但沒有得到任何提示

Answer 1

您能否確認如果您下載的 PasteBin 文件與您找到的文件完全匹配？ 刪除注釋后，代碼似乎確實是：組裝一個字符串數組； 將字符串連接在一起； 嘗試使用 gzinflate 解壓縮結果； 如果 gzinflate 沒有因無效數據而失敗，然后將評估結果。

原始字符串中有許多特殊字符，所以我想知道復制粘貼到 PasteBin、PasteBin 提供的渲染，或者我從那里下載的內容是否做了一個小改動，破壞了壓縮后的 stream。

我也會繼續關注它，但這里有一些處理混淆的想法：

• 刪除評論 - 我使用了/\*.*?\*/的惰性正則表達式
• 你最終（在混淆位）得到三個語句
  • 對包含 252 個項目的數組的賦值
  • 對最后一項（只是“gzinflate”）的新單值數組的賦值
  • 在剩余數組項的串聯上運行“gzinflate”的 output 的評估
• 所以你可以只采用第一條語句來形成數組，然后像最后一條語句那樣連接條目
• 這將能夠被傳遞給 gzinflate，output 應該給你它試圖執行的代碼