Home Sign Up Sign In
novaa
V2EX  ›  问与答

PHP 加密文件

  •   
  •   novaa · Jun 1, 2018 · 3286 views
    This topic created in 2918 days ago, the information mentioned may be changed or developed.

    之前朋友公司一网站给一个外包开发了
    现在这几天网站首页隔三差五被人篡改 叫我帮他们排下原因

    我在原项目里找到个这样的 php 加密文件 谁知道这是什么加密方式不
    (这里不能直接发文件,我放在百度网盘里了) https://pan.baidu.com/s/1F-o65OYBII6KvLbU1JaDGg 提取码:b545

    我试了下 单独运行这个文件可以运行 但复制到另一个文件里运行 又报错
    看起来像是乱码 但确实是能执行

    我试了度娘的 zend 反解密 还有那个什么黑刀反解密出来的也都看起来是这样乱码 并且反解密出来就不能运行了

    有没大神帮忙看看这是什么加密方式

  • 文件
  • 加密
  • 运行
  • PHP
    21 replies    2018-06-02 09:30:56 +08:00
    googlo
        1
    googlo  
       Jun 1, 2018
    在线加密。。。。。
    bootell
        2
    bootell  
       Jun 1, 2018
    看起来像 phpjiami
    novaa
        3
    novaa  
    OP
       Jun 1, 2018
    @googlo @bootell 能解密么
    shoaly
        4
    shoaly  
       Jun 1, 2018
    通常这种隔三差五被人修改的原因是 尾款没结, 然后程序员调用自己的后门 示威来了
    jeffcott
        5
    jeffcott  
       Jun 1, 2018   ❤️ 1
    帮顶,等大神,顺便学一手
    murmur
        6
    murmur  
       Jun 1, 2018
    应该就是混淆,用无法正常阅读的 utf-8 编码做变量,如果传统基于字符串的编辑器就 gg 了
    novaa
        7
    novaa  
    OP
       Jun 1, 2018
    @shoaly 结清了 一年前就结清了 只是维护没在找他们
    novaa
        8
    novaa  
    OP
       Jun 1, 2018
    @murmur 这编码看起来不像是 utf-8 ... 关键又能跑起来。。。
    bootell
        9
    bootell  
       Jun 1, 2018
    @leonidas 搜索一下关键词,就能找到方法,比如
    https://www.leavesongs.com/PENETRATION/unobfuscated-phpjiami.html#0x03-dump
    ccc008
        10
    ccc008  
       Jun 1, 2018
    可以帮你看一下。UVE6NjM1ODI1MjA0
    R18
        11
    R18  
       Jun 1, 2018   ❤️ 1
    <?php
    register_shutdown_function(function(){
    var_dump($GLOBALS);
    });
    include('index.php');


    仅供参考
    novaa
        12
    novaa  
    OP
       Jun 1, 2018
    @bootell 好的 我研究下 谢谢
    novaa
        13
    novaa  
    OP
       Jun 1, 2018   ❤️ 1
    @ccc008 这个是啥 没看懂。。
    eluotao
        14
    eluotao  
       Jun 1, 2018 via iPhone
    很简单的
    a7a2
        15
    a7a2  
       Jun 1, 2018
    完全可以基于日志追踪其入侵漏洞或文件

    完全可以基于运维安全实现免去掉后门的代码都能保证服务安全
    azhi
        16
    azhi  
       Jun 1, 2018 via Android
    @leonidas 10 楼的 base64 解码下即可
    Foolt
        17
    Foolt  
       Jun 1, 2018
    网上查到的:很简单,用类似 phpjm 的解密方式,替换掉_inc.php 中最后一个 return 中的 eval 为 print 就出来了。
    yangqi
        18
    yangqi  
       Jun 1, 2018
    很简单,这里有详细解答
    http://blog.sina.cn/dpool/blog/s/blog_438310d50101cg7v.html
    novaa
        19
    novaa  
    OP
       Jun 2, 2018
    @a7a2 嗯 现在就是查到有这么一个加密的后门文件
    novaa
        20
    novaa  
    OP
       Jun 2, 2018
    @Foolt
    @yangqi
    试了下这个 phpjm 没解出来。。。。
    yangqi
        21
    yangqi  
       Jun 2, 2018
    @leonidas 和 phpjm 类似,自己要改一下的
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1683 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 77ms · UTC 16:22 · PVG 00:22 · LAX 09:22 · JFK 12:22
    ♥ Do have faith in what you're doing.