Un amigo mío descubrió recientemente y me envió una pequeña colección de scripts troy php que se cargaron en su máquina. Aquí hay un ejemplo:
eval(gzinflate(str_rot13(base64_decode('huge-string'))));
die;
¿Por qué los atacantes se molestan en hacer todo esto? Cualquier desarrollador puede trivialmente revertir estos pasos para ver el código fuente.
El único motivo por el que puedo imaginarlo es un intento de evitar la detección de antivirus en una base de código existente (base64 () la secuencia de comandos, tiene un virus 'nuevo', al menos durante unos minutos).
Este vector se ve mitigado en gran medida por cosas como la detección de virus heurísticos, que busca precisamente fragmentos sospechosos de fuentes como esta.