我在朋友的networking服务器上find了一些已经被黑客加载的PHP脚本。 实际的代码被隐藏使用几层encryption如下。 他们有一个巨大的string分配给一个variables$str 。 然后他们使用下面这行来解密string并运行代码eval(gzinflate(str_rot13(base64_decode($str))));
他们不能运行代码,因为有一个.htaccess文件阻止从该文件夹执行脚本,这是一个临时性的修复。
不过,我对这个脚本的解密内容感到好奇。 我想看看它在做什么,因为这可能会提供有关系统中可能存在的漏洞的线索。 我怎样才能安全地做到这一点,而不暴露系统的预期攻击?
我可以安全地把这个在运行在pc上的linux echo(gzinflate(str_rot13(base64_decode($str))));同时改变上面的语句echo(gzinflate(str_rot13(base64_decode($str)))); ?
是的,您提供的命令是获取正在运行的代码的有效和安全的方法。 尽pipe如此,它会被打乱并且很难阅读。 为了便于阅读,您需要花些时间重新格式化它。