Examinando o script de hack do PHP [fechado]

1

Eu encontrei um número de scripts PHP em um servidor web de amigos que tinha sido carregado por hackers. O código real foi oculto usando várias camadas de criptografia da seguinte maneira. Eles tinham uma string enorme atribuída a uma variável $str . Em seguida, eles usaram a seguinte linha para descriptografar a string e executar o código eval(gzinflate(str_rot13(base64_decode($str))));

Eles não podem executar o código porque há um arquivo .htaccess impedindo a execução de scripts dessa pasta, isso é uma correção temporária.

No entanto, estou curioso para o conteúdo descriptografado do script. Eu gostaria de ver o que está fazendo, pois isso pode fornecer pistas sobre as vulnerabilidades que podem existir no sistema. Como posso fazê-lo com segurança sem expor o sistema ao ataque pretendido?

Eu poderia seguramente colocar isso em um linux vm rodando em um pc enquanto alterava a declaração acima para echo(gzinflate(str_rot13(base64_decode($str)))); ?

    
por conorgriffin 05.07.2011 / 16:09

1 resposta

4

Sim, o comando que você fornece é uma maneira válida e segura de obter o código que está sendo executado. Vai ser mutilado e muito difícil de ler, no entanto; você precisará levar algum tempo para reformatá-lo para facilitar a leitura.

    
por 05.07.2011 / 16:18