V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
leonidas
V2EX  ›  问与答

PHP 加密文件

  •  
  •   leonidas · 2018-06-01 13:59:22 +08:00 · 2685 次点击
    这是一个创建于 2373 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前朋友公司一网站给一个外包开发了
    现在这几天网站首页隔三差五被人篡改 叫我帮他们排下原因

    我在原项目里找到个这样的 php 加密文件 谁知道这是什么加密方式不
    (这里不能直接发文件,我放在百度网盘里了) https://pan.baidu.com/s/1F-o65OYBII6KvLbU1JaDGg 提取码:b545

    我试了下 单独运行这个文件可以运行 但复制到另一个文件里运行 又报错
    看起来像是乱码 但确实是能执行

    我试了度娘的 zend 反解密 还有那个什么黑刀反解密出来的也都看起来是这样乱码 并且反解密出来就不能运行了

    有没大神帮忙看看这是什么加密方式

    21 条回复    2018-06-02 09:30:56 +08:00
    googlo
        1
    googlo  
       2018-06-01 15:08:31 +08:00
    在线加密。。。。。
    bootell
        2
    bootell  
       2018-06-01 15:20:08 +08:00
    看起来像 phpjiami
    leonidas
        3
    leonidas  
    OP
       2018-06-01 15:36:11 +08:00
    @googlo @bootell 能解密么
    shoaly
        4
    shoaly  
       2018-06-01 15:42:36 +08:00
    通常这种隔三差五被人修改的原因是 尾款没结, 然后程序员调用自己的后门 示威来了
    jeffcott
        5
    jeffcott  
       2018-06-01 15:51:00 +08:00   ❤️ 1
    帮顶,等大神,顺便学一手
    murmur
        6
    murmur  
       2018-06-01 15:51:23 +08:00
    应该就是混淆,用无法正常阅读的 utf-8 编码做变量,如果传统基于字符串的编辑器就 gg 了
    leonidas
        7
    leonidas  
    OP
       2018-06-01 17:23:45 +08:00
    @shoaly 结清了 一年前就结清了 只是维护没在找他们
    leonidas
        8
    leonidas  
    OP
       2018-06-01 17:25:10 +08:00
    @murmur 这编码看起来不像是 utf-8 ... 关键又能跑起来。。。
    bootell
        9
    bootell  
       2018-06-01 17:37:15 +08:00
    ccc008
        10
    ccc008  
       2018-06-01 17:48:07 +08:00
    可以帮你看一下。UVE6NjM1ODI1MjA0
    R18
        11
    R18  
       2018-06-01 18:11:56 +08:00   ❤️ 1
    <?php
    register_shutdown_function(function(){
    var_dump($GLOBALS);
    });
    include('index.php');


    仅供参考
    leonidas
        12
    leonidas  
    OP
       2018-06-01 18:25:42 +08:00
    @bootell 好的 我研究下 谢谢
    leonidas
        13
    leonidas  
    OP
       2018-06-01 18:25:59 +08:00   ❤️ 1
    @ccc008 这个是啥 没看懂。。
    eluotao
        14
    eluotao  
       2018-06-01 18:26:49 +08:00 via iPhone
    很简单的
    a7a2
        15
    a7a2  
       2018-06-01 19:23:31 +08:00
    完全可以基于日志追踪其入侵漏洞或文件

    完全可以基于运维安全实现免去掉后门的代码都能保证服务安全
    azhi
        16
    azhi  
       2018-06-01 22:23:28 +08:00 via Android
    @leonidas 10 楼的 base64 解码下即可
    Foolt
        17
    Foolt  
       2018-06-01 22:30:15 +08:00
    网上查到的:很简单,用类似 phpjm 的解密方式,替换掉_inc.php 中最后一个 return 中的 eval 为 print 就出来了。
    yangqi
        18
    yangqi  
       2018-06-01 22:37:45 +08:00
    leonidas
        19
    leonidas  
    OP
       2018-06-02 09:17:24 +08:00
    @a7a2 嗯 现在就是查到有这么一个加密的后门文件
    leonidas
        20
    leonidas  
    OP
       2018-06-02 09:29:23 +08:00
    @Foolt
    @yangqi
    试了下这个 phpjm 没解出来。。。。
    yangqi
        21
    yangqi  
       2018-06-02 09:30:56 +08:00
    @leonidas 和 phpjm 类似,自己要改一下的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2689 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 00:04 · PVG 08:04 · LAX 16:04 · JFK 19:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.