С нами с 07.10.10
Сообщения: 891
Рейтинг: 1316
|
 Добавлено: 08/04/18 в 15:42 |
Подскажите пожалуйста, есть ли удобные инструменты для декодирования и кодирования обратно строк вида: | Код: [развернуть] | | $gX_FlexDBShe = unserialize(gzinflate(/*1522005763*/base64_decode("zV0LX9PYtv8qy.......... |
Собственно речь идет об AI-Bolit для отлова вирусов на сайтах. Раньше у них эти строки просто под base64_decode лежали. Я декодировал, удалял всякие порно слова, кодировал заново и запускал проверку. А сейчас толку то запускать на порносайтах. Когда в логах показывает 5000 как бы вирусов, настоящий вирус просто нереально увидеть.
В техподдержку AI-Bolit я думаю и писать нет смысла, их точно не обрадует модификация их скриптов.
Спасибо
|
|
|
|
| |
Z
С нами с 15.05.05
Сообщения: 55045
Рейтинг: 7770
 
|
| Добавлено: 08/04/18 в 17:36 |
шо то меня както сомнения мучают что ты
мог декодировать
|
|
|
|
| |
С нами с 19.04.05
Сообщения: 1577
Рейтинг: 957
|
| Добавлено: 08/04/18 в 23:54 |
dmmcash: Оффтопик, ты шибко не доверяй AI-Bolit, на сайте с массой шелов, он плохо себя показал, после него я ещё прилично нашел.
Необходим поиск в файлах, от корня характерных сток eval, base64, str_replace и тп, далее уже в ручную анализировать, что за код встроен, include смотреть встроенные, анализ htaccess файлов, благодаря которым руткит может в ico, png быть и тп.
Короче творчески процесс 
По теме
вначале декодируешь с помощью
http://www.tareeinternet.com/scripts/decrypt.php или https://toolki.com/en/php-decoder/
далее
https://ru.functions-online.com/unserialize.html
или если автоматом хочешь это делать
то используй PHP
капитан очевидность 
base64_encode <-> base64_decode
gzdeflate <-> gzdeflate
serialize <-> unserialize
|
|
|
|
| |
С нами с 07.10.10
Сообщения: 891
Рейтинг: 1316
|
| Добавлено: 09/04/18 в 10:27 |
| Retox писал: | | dmmcash: ты шибко не доверяй AI-Bolit |
Спасибо что потратил на меня время.
Безусловно полагаться на айболита на 100% нельзя, но в параноидальном режиме он неплохо ищет по характерным признакам. Много конечно ложных срабатываний, зато левое хорошо видно.
Что по декодированию. Эти декодеры я находил, они в гугле первые висят. Оба не помогли. Потому как eval у меня в строках нет. Я и без него пробовал и пихал его куда попало. Ага смейся надо мной  я ж "программист"
Да с декодированием нет проблем | Код: [развернуть] | | <?php echo(gzinflate(/*1522005763*/base64_decode |
Или вот от сукури хороший есть http://ddecode.com/phpdecoder/
Проблема запаковать обратно. Да не, я понимал что так просто не прокатит, но спросить то надо, вдруг на самом деле есть готовые решения. Щас мозг напрягу и придумаю чегонить. 
|
|
|
|
| |
С нами с 07.10.10
Сообщения: 891
Рейтинг: 1316
|
| Добавлено: 09/04/18 в 16:59 |
Нашел готовый вариант енкодера, убрать только трим да стрипслешес. Может тоже кому пригодится https://github.com/lionaneesh/PHP-Encoder
Уже все исправил в айболите, проверяюсь сижу. Вроде чисто.
Я и так раз в месяц проверяю все, а тут паника внеочередная. То ли через панель весту ломают то ли нет. Пока не понятно но взлом массовый я так понял. Так что проверяйтесь тоже и будьте здоровы. 
|
|
|
|
| |
Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте! |
