Я нашел несколько скриптов PHP на веб-сервере друзей, которые были загружены хакерами. Фактический код был скрыт с использованием нескольких уровней шифрования следующим образом. У них была огромная строка, присвоенная переменной $str. Затем они использовали следующую строку, чтобы расшифровать строку и запустить код eval(gzinflate(str_rot13(base64_decode($str))));
Они не могут запустить код, потому что есть файл .htaccess, предотвращающий выполнение скриптов из этой папки, это временное исправление.
Однако мне любопытно, как расшифровано содержимое скрипта. Я хотел бы посмотреть, что он делает, так как это может дать подсказку об уязвимостях, которые могут существовать в системе. Как я могу сделать это безопасно, не подвергая систему предполагаемой атаке?
Могу ли я безопасно разместить это на Linux vm, работающем на компьютере, изменив приведенное выше утверждение на echo(gzinflate(str_rot13(base64_decode($str))));?
Да, предоставленная вами команда - действительный и безопасный способ получить выполняемый код. Однако он будет искажен, и его будет очень трудно читать; вам потребуется некоторое время, чтобы переформатировать его для удобства чтения.