V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
GPU
V2EX  ›  PHP

中了一段疑似 PHP 木马。

  •  
  •   GPU · 2017-07-12 15:17:38 +08:00 · 4237 次点击
    这是一个创建于 2678 天前的主题,其中的信息可能已经有所发展或是发生改变。
    22 条回复    2017-07-13 15:31:00 +08:00
    zjsxwc
        1
    zjsxwc  
       2017-07-12 15:29:56 +08:00
    这么多问号。。肯定 php 语法错误了,你确定是原文件?
    GPU
        2
    GPU  
    OP
       2017-07-12 15:32:16 +08:00
    @zjsxwc #1 vps 上面 复制下来的 , 在一个 cache 的文件夹. windows 的.
    zjsxwc
        3
    zjsxwc  
       2017-07-12 15:43:10 +08:00
    @GPU

    能发下原文件吗
    GPU
        4
    GPU  
    OP
       2017-07-12 15:48:12 +08:00
    @zjsxwc #3 刚登录上 vps 看了一遍源文件就是这样子,用 notepad ++ 打开看过
    kikyous
        5
    kikyous  
       2017-07-12 15:53:31 +08:00
    编码出问题了吧
    BoiledEgg
        6
    BoiledEgg  
       2017-07-12 15:59:10 +08:00
    可能是编码问题
    GPU
        7
    GPU  
    OP
       2017-07-12 15:59:14 +08:00
    @kikyous #5 不清楚, 另一个管理看到后说直接删了 ,删了还查个毛. 剩下这个乱码的.

    散吧
    imnpc
        8
    imnpc  
       2017-07-12 16:03:46 +08:00
    这是混淆加密过的代码 必须拿源文件二进制的 可以到解密网站上解密出来
    ajan
        9
    ajan  
       2017-07-12 16:10:04 +08:00
    木马
    hiboshi
        10
    hiboshi  
       2017-07-12 17:05:27 +08:00
    看到 eval 就知道了,可能就是木马
    xzem
        11
    xzem  
       2017-07-12 18:18:44 +08:00 via Android
    难道是用全角问号做变量名和方法名
    lshero
        12
    lshero  
       2017-07-12 18:46:08 +08:00
    这种混淆太恶心了,以前还可以一层一层的手解。这种的一编辑字符集编码就乱了然后文件自己就损毁了
    GPU
        13
    GPU  
    OP
       2017-07-12 20:07:36 +08:00
    @imnpc #8 二进制不知道哪里找了.
    ditel
        14
    ditel  
       2017-07-12 20:24:23 +08:00 via Android
    这就是一段木马啊,变量就是这样的,没看出来有些都是正常的吗?
    GPU
        15
    GPU  
    OP
       2017-07-12 21:18:18 +08:00
    @ditel #14 看了来了有几个疑似是密码之类的字符串, 变量赋值之类
    mingyun
        16
    mingyun  
       2017-07-12 23:24:46 +08:00
    代码加密处理了吧
    jhdxr
        17
    jhdxr  
       2017-07-12 23:58:02 +08:00
    这个真不一定是木马之类的,很久以前流行过一段时间这种 PHP 『加密』方法。本质就是把各种变量函数之类的替换为不可读的字符,以及用 eval / 可变函数 / 各种编码来达到混淆的效果。。。
    yangqi
        18
    yangqi  
       2017-07-13 00:06:00 +08:00
    很明显的木马,不过在 windows 的 cache 文件夹没啥作用,不用担心
    GPU
        19
    GPU  
    OP
       2017-07-13 00:27:47 +08:00
    @yangqi #18 不是在 Windows 的 Cache 的 ,而是在网站程序的 cache 里面.
    evil4ngl3
        20
    evil4ngl3  
       2017-07-13 08:45:51 +08:00   ❤️ 1
    应该是的,黑客采用 ASCII 码(129-255)之间的字符来加密,造成代码不可读。参考地址 http://www.cnblogs.com/LittleHann/p/3522990.html
    https://www.srevilak.net/wiki/images/4/4f/Wordpress-p0wn.pdf
    根据能够识别的关键字“ b3Jk ”、“ c3RybGVu ”等,google 到的。
    evil4ngl3
        21
    evil4ngl3  
       2017-07-13 08:52:18 +08:00
    但是你传的好像问题,保存成 PHP 解析报错了。
    cowpea
        22
    cowpea  
       2017-07-13 15:31:00 +08:00   ❤️ 1
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2666 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 10:20 · PVG 18:20 · LAX 02:20 · JFK 05:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.