Master-X
Форум | Новости | Статьи
Главная » Форум » Программинг, Скрипты, Софт, Сервисы » 
Тема: Декодирование unserialize(gzinflate(base64_dec
цитата
08/04/18 в 15:42
 dmmcash
Подскажите пожалуйста, есть ли удобные инструменты для декодирования и кодирования обратно строк вида: $gX_FlexDBShe = unserialize(gzinflate(/*1522005763*/base64_decode("zV0LX9PYtv8qy..........

Собственно речь идет об AI-Bolit для отлова вирусов на сайтах. Раньше у них эти строки просто под base64_decode лежали. Я декодировал, удалял всякие порно слова, кодировал заново и запускал проверку. А сейчас толку то запускать на порносайтах. Когда в логах показывает 5000 как бы вирусов, настоящий вирус просто нереально увидеть.
В техподдержку AI-Bolit я думаю и писать нет смысла, их точно не обрадует модификация их скриптов.

Спасибо
цитата
08/04/18 в 17:36
 andreich
шо то меня както сомнения мучают что ты
dmmcash писал:
base64

мог декодировать
цитата
08/04/18 в 23:54
 Retox
dmmcash: Оффтопик, ты шибко не доверяй AI-Bolit, на сайте с массой шелов, он плохо себя показал, после него я ещё прилично нашел.
Необходим поиск в файлах, от корня характерных сток eval, base64, str_replace и тп, далее уже в ручную анализировать, что за код встроен, include смотреть встроенные, анализ htaccess файлов, благодаря которым руткит может в ico, png быть и тп.
Короче творчески процесс icon_wink.gif

По теме
вначале декодируешь с помощью
http://www.tareeinternet.com/scripts/decrypt.php или https://toolki.com/en/php-decoder/
далее
https://ru.functions-online.com/unserialize.html

или если автоматом хочешь это делать
то используй PHP
капитан очевидность trollface.png
base64_encode <-> base64_decode
gzdeflate <-> gzdeflate
serialize <-> unserialize
цитата
09/04/18 в 10:27
 dmmcash
Retox писал:
dmmcash: ты шибко не доверяй AI-Bolit


Спасибо что потратил на меня время.
Безусловно полагаться на айболита на 100% нельзя, но в параноидальном режиме он неплохо ищет по характерным признакам. Много конечно ложных срабатываний, зато левое хорошо видно.

Что по декодированию. Эти декодеры я находил, они в гугле первые висят. Оба не помогли. Потому как eval у меня в строках нет. Я и без него пробовал и пихал его куда попало. Ага смейся надо мной icon_smile.gif я ж "программист"
Да с декодированием нет проблем <?php echo(gzinflate(/*1522005763*/base64_decode
Или вот от сукури хороший есть http://ddecode.com/phpdecoder/

Проблема запаковать обратно. Да не, я понимал что так просто не прокатит, но спросить то надо, вдруг на самом деле есть готовые решения. Щас мозг напрягу и придумаю чегонить. icon_mad.gif
цитата
09/04/18 в 16:59
 dmmcash
Нашел готовый вариант енкодера, убрать только трим да стрипслешес. Может тоже кому пригодится https://github.com/lionaneesh/PHP-Encoder
Уже все исправил в айболите, проверяюсь сижу. Вроде чисто.

Я и так раз в месяц проверяю все, а тут паника внеочередная. То ли через панель весту ломают то ли нет. Пока не понятно но взлом массовый я так понял. Так что проверяйтесь тоже и будьте здоровы. smail54.gif


Эта страница в полной версии