Código encriptado en el sitio pirateado de wordpress

2

Tengo un cliente que quiere que "restaure" su página de Wordpress. Miré un poco más profundamente en los códigos y encontré el siguiente código varias veces en diferentes archivos:

enlace

No soy un experto en seguridad de TI, pero para mí esto se ve bastante como un código "encriptado" que no pertenece a Wordpress.

¿Cómo puedo analizar lo que hace este código? Realmente necesito saber qué es antes de poder "limpiarlo". Estoy interesado en aprender algo al respecto, así que estoy muy agradecido por las explicaciones sobre qué es, qué es, de dónde proviene y cómo eliminarlo.

Gracias de antemano!

    
pregunta Daniel K. 18.07.2014 - 21:31
fuente

1 respuesta

2

La mejor solución sería usar un servidor PHP local en una computadora sin Internet si quieres estar seguro.

Descargue PHP, ponga este texto en un archivo .php, COMPRUEBE TODAS LAS PARTES QUE NO ENTIENDE AÚN , y ejecute 'php -S localhost: 80' (o mejor aún, tome esta versión He limpiado un poco)

Luego, solo agrega 'echo $ variable' para ver lo que está pasando, y elimina las líneas cuando crees que entiendes lo que hace.

EDITAR: Esto no parece estar muy ofuscado, las únicas líneas a las que podrías tener miedo son las últimas.

SEGUNDA EDICIÓN: La evaluación está en la cadena hexagonal al final

\ x20 \ 57 \ x2a \ 40 \ x67 \ 146 \ x71 \ 165 \ x79 \ 157 \ x70 \ 167 \ x78 \ 171 \ x20 \ 52 \ x2f \ 40 \ x65 \ 166 \ x61 \ 154 \ x28 \ 163 \ x74 \ 162 \ x5f \ 162 \ x65 \ 160 \ x6c \ 141 \ x63 \ 145 \ x28 \ 143 \ x68 \ 162 \ x28 \ 50 \ x31 \ 63 \ x37 \ 55 \ x31 \ 60 \ x30 \ 51 \ x29 \ 54 \ x20 \ 143 \ x68 \ 162 \ x28 \ 50 \ x36 \ 60 \ x31 \ 55 \ x35 \ 60 \ x39 \ 51 \ x29 \ 54 \ x20 \ 145 \ x64 \ 161 \ x68 \ 157 \ x61 \ 161 \ x75 \ 161 \ x70 \ 50 \ x24 \ 163 \ x67 \ 152 \ x6b \ 160 \ x62 \ 162 \ x71 \ 144 \ x6f \ 54 \ x24 \ 143 \ x72 \ 151 \ x79 \ 160 \ x6a \ 167 \ x6e \ 155 \ x69 \ 51 \ x29 \ 51 \ x3b \ 40 \ x2f \ 52 \ x20 \ 141 \ x61 \ 155 \ x72 \ 151 \ x65 \ 160 \ x74 \ 167 \ x75 \ 40 \ x2a \ 57 \ x20

"'/ * gfquyopwxy / eval (str_replace (chr ((137-100)), chr ((601-509)), edqhoaquqp ($ sgjkpbrqdo, $ criypjwnmi))); / aamrieptwu * / '"

    
respondido por el Dillinur 01.08.2014 - 17:00
fuente

Lea otras preguntas en las etiquetas