Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
Программинг, Скрипты, Софт, Сервисы
»
Тема:
Декодирование unserialize(gzinflate(base64_dec
Новая тема
Ответить
цитата
08/04/18 в 15:42
dmmcash
Подскажите пожалуйста, есть ли удобные инструменты для декодирования и кодирования обратно строк вида: $gX_FlexDBShe = unserialize(gzinflate(/*1522005763*/base64_decode("zV0LX9PYtv8qy..........
Собственно речь идет об AI-Bolit для отлова вирусов на сайтах. Раньше у них эти строки просто под base64_decode лежали. Я декодировал, удалял всякие порно слова, кодировал заново и запускал проверку. А сейчас толку то запускать на порносайтах. Когда в логах показывает 5000 как бы вирусов, настоящий вирус просто нереально увидеть.
В техподдержку AI-Bolit я думаю и писать нет смысла, их точно не обрадует модификация их скриптов.
Спасибо
цитата
08/04/18 в 17:36
andreich
шо то меня както сомнения мучают что ты
dmmcash писал:
base64
мог декодировать
цитата
08/04/18 в 23:54
Retox
dmmcash:
Оффтопик, ты шибко не доверяй AI-Bolit, на сайте с массой шелов, он плохо себя показал, после него я ещё прилично нашел.
Необходим поиск в файлах, от корня характерных сток eval, base64, str_replace и тп, далее уже в ручную анализировать, что за код встроен, include смотреть встроенные, анализ htaccess файлов, благодаря которым руткит может в ico, png быть и тп.
Короче творчески процесс
По теме
вначале декодируешь с помощью
http://www.tareeinternet.com/scripts/decrypt.php
или
https://toolki.com/en/php-decoder/
далее
https://ru.functions-online.com/unserialize.html
или если автоматом хочешь это делать
то используй PHP
капитан очевидность
base64_encode <-> base64_decode
gzdeflate <-> gzdeflate
serialize <-> unserialize
цитата
09/04/18 в 10:27
dmmcash
Retox писал:
dmmcash:
ты шибко не доверяй AI-Bolit
Спасибо что потратил на меня время.
Безусловно полагаться на айболита на 100% нельзя, но в параноидальном режиме он неплохо ищет по характерным признакам. Много конечно ложных срабатываний, зато левое хорошо видно.
Что по декодированию. Эти декодеры я находил, они в гугле первые висят. Оба не помогли. Потому как eval у меня в строках нет. Я и без него пробовал и пихал его куда попало. Ага смейся надо мной
я ж "программист"
Да с декодированием нет проблем <?php echo(gzinflate(/*1522005763*/base64_decode
Или вот от сукури хороший есть
http://ddecode.com/phpdecoder/
Проблема запаковать обратно. Да не, я понимал что так просто не прокатит, но спросить то надо, вдруг на самом деле есть готовые решения. Щас мозг напрягу и придумаю чегонить.
цитата
09/04/18 в 16:59
dmmcash
Нашел готовый вариант енкодера, убрать только трим да стрипслешес. Может тоже кому пригодится
https://github.com/lionaneesh/PHP-Encoder
Уже все исправил в айболите, проверяюсь сижу. Вроде чисто.
Я и так раз в месяц проверяю все, а тут паника внеочередная. То ли через панель весту ломают то ли нет. Пока не понятно но взлом массовый я так понял. Так что проверяйтесь тоже и будьте здоровы.
Новая тема
Ответить
Эта страница в полной версии