PHP 加密文件

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2709 天前的主题，其中的信息可能已经有所发展或是发生改变。

之前朋友公司一网站给一个外包开发了
现在这几天网站首页隔三差五被人篡改叫我帮他们排下原因

我在原项目里找到个这样的 php 加密文件谁知道这是什么加密方式不
（这里不能直接发文件，我放在百度网盘里了） https://pan.baidu.com/s/1F-o65OYBII6KvLbU1JaDGg 提取码：b545

我试了下单独运行这个文件可以运行但复制到另一个文件里运行又报错
看起来像是乱码但确实是能执行

我试了度娘的 zend 反解密还有那个什么黑刀反解密出来的也都看起来是这样乱码并且反解密出来就不能运行了

有没大神帮忙看看这是什么加密方式

文件

加密

运行

PHP

21 条回复 • 2018-06-02 09:30:56 +08:00

googlo

2018-06-01 15:08:31 +08:00

在线加密。。。。。

bootell

2018-06-01 15:20:08 +08:00

看起来像 phpjiami

novaa

2018-06-01 15:36:11 +08:00

@googlo @bootell 能解密么

shoaly

2018-06-01 15:42:36 +08:00

通常这种隔三差五被人修改的原因是尾款没结, 然后程序员调用自己的后门示威来了

jeffcott

2018-06-01 15:51:00 +08:00

帮顶，等大神，顺便学一手

murmur

2018-06-01 15:51:23 +08:00

应该就是混淆，用无法正常阅读的 utf-8 编码做变量，如果传统基于字符串的编辑器就 gg 了

novaa

2018-06-01 17:23:45 +08:00

@shoaly 结清了一年前就结清了只是维护没在找他们

novaa

2018-06-01 17:25:10 +08:00

@murmur 这编码看起来不像是 utf-8 ... 关键又能跑起来。。。

bootell

2018-06-01 17:37:15 +08:00

@leonidas 搜索一下关键词，就能找到方法，比如
https://www.leavesongs.com/PENETRATION/unobfuscated-phpjiami.html#0x03-dump

ccc008

2018-06-01 17:48:07 +08:00

可以帮你看一下。UVE6NjM1ODI1MjA0

R18

2018-06-01 18:11:56 +08:00

<?php
register_shutdown_function(function(){
var_dump($GLOBALS);
});
include('index.php');

仅供参考

novaa

2018-06-01 18:25:42 +08:00

@bootell 好的我研究下谢谢

novaa

2018-06-01 18:25:59 +08:00

@ccc008 这个是啥没看懂。。

eluotao

2018-06-01 18:26:49 +08:00 via iPhone

很简单的

a7a2

2018-06-01 19:23:31 +08:00

完全可以基于日志追踪其入侵漏洞或文件

完全可以基于运维安全实现免去掉后门的代码都能保证服务安全

azhi

2018-06-01 22:23:28 +08:00 via Android

@leonidas 10 楼的 base64 解码下即可

Foolt

2018-06-01 22:30:15 +08:00

网上查到的：很简单，用类似 phpjm 的解密方式，替换掉_inc.php 中最后一个 return 中的 eval 为 print 就出来了。

yangqi

2018-06-01 22:37:45 +08:00

很简单，这里有详细解答
http://blog.sina.cn/dpool/blog/s/blog_438310d50101cg7v.html

novaa

2018-06-02 09:17:24 +08:00

@a7a2 嗯现在就是查到有这么一个加密的后门文件

novaa

2018-06-02 09:29:23 +08:00

@Foolt
@yangqi
试了下这个 phpjm 没解出来。。。。

yangqi

2018-06-02 09:30:56 +08:00

@leonidas 和 phpjm 类似，自己要改一下的