guman ki phpSHIELD ile encode olunub, publicde decoder yoxdur indidən deyim
kodun lap əvvəlinə fikir ver, gör belə bir başlıq var ? <?php @"phpSHIELD";
Sitat#23631StealtH :
guman ki phpSHIELD ile encode olunub, publicde decoder yoxdur indidən deyim
kodun lap əvvəlinə fikir ver, gör belə bir başlıq var ? <?php @"phpSHIELD";
yoox qaqaş elə kod yoxdu, başlığı necədisə elə yazmışam, decode yoxdu canun sağ olsun =)
Skriptin özü tamamilə verdiyin haldadır yoxsa sən həmin skriptin müəyyən bir hissəsini copy/paste etmisən bura?
Əgər tam halda bu şəkildədirsə digər skriptləri axtar gör ki,həmin bu şifrələnmiş skriptə hansı başqa skript include verir.
Həmin include edən faylda 99% alqoritm olacaq hansı metodla bunu deşifrə edir.
Sonrası baş işlətməkdir məsələn funksiyaları dəyişərək echo etmək.
Yox əgər 2-ci dediyimdirsə zəhmət olmasa full skriptin özünü copy paste elə baxaq.
Skriptin özü tamamilə verdiyin haldadır yoxsa sən həmin skriptin müəyyən bir hissəsini copy/paste etmisən bura?
Əgər tam halda bu şəkildədirsə digər skriptləri axtar gör ki,həmin bu şifrələnmiş skriptə hansı başqa skript include verir.
Həmin include edən faylda 99% alqoritm olacaq hansı metodla bunu deşifrə edir.
Sonrası baş işlətməkdir məsələn funksiyaları dəyişərək echo etmək.
Yox əgər 2-ci dediyimdirsə zəhmət olmasa full skriptin özünü copy paste elə baxaq.
Qaqaş tam deyil,çox olduğu üçün bir az copy/paste eləmişəm gözlə atıram tam formada
Elə skriptin hamısı bundan ibarətdir elə deyil yoxsa əlavə nəsə kod-da var o skriptdə?
Əgər skript başdan ayağa bu şəkildədirsə işlər biraz fırıqdır.Digər skriptlərdə bu encode edilmiş fayla include -u tapmalısan.
Ən azı 4 dəfə base64_decode elədim düzəməlli bir şey çıxmadı bundan.Custom alqoritmdir bu nəsə.
Ümumi olaraq nə ki skript var əlində aç hamısını oxu gör
include 'həminşifrələnmiş fayl.php';
require_once 'həminşifrələnmiş fayl.php';
require 'həminşifrələnmiş fayl.php';
rast gəlirsən ya yox?
rast gəlsən ordan skripti oxumağı bacarmalısan.Əgər bacarmırsansa bütün o skripti arxiv şəklində bir yerə upload elə baxım.
Linux istifadəçisisənsə daha asan olaraq bunu include edən faylı tapa bilərsən: grep -ri 'skriptinadı' *
köməyin olacaq.
Tapsan o include edən faylı sonrası oxumaqdır skripti hansı alqoritmlə execution edir bunu.
P.S Bir də xahiş olunur pastebin.com-a copy paste elə böyük skriptləri.Daha rahat olsun çünki forumda bəzən kod tam düşmür.
Başa düşdüme qardaşım sən bir zəhmət olmasa at bütün arxivi bura yükləyib bir baxaq nə edə bilirik.
Digər skriptlər də belə şifrələnmişdir yoxsa elə adi budur?
+
Bu kimi şifrələnmiş skriptlərdən istifadə məqsədəuyğun deyil.İçinə backdoor basıb atacaqlar istənilən an saytını vuracaqlar+userlərin passları da əldən gedəcək.
ioncode deyil bu . bu script İoncube-də encoder olunub . include verən phplərdə gösdərilib bu + include olan phplərdə qəsdən yazım hatası varki ioncube olunduğu bilinməsin.
Sitat#23650BlackMinD :
Başa düşdüme qardaşım sən bir zəhmət olmasa at bütün arxivi bura yükləyib bir baxaq nə edə bilirik.
Digər skriptlər də belə şifrələnmişdir yoxsa elə adi budur?
+
Bu kimi şifrələnmiş skriptlərdən istifadə məqsədəuyğun deyil.İçinə backdoor basıb atacaqlar istənilən an saytını vuracaqlar+userlərin passları da əldən gedəcək.
İçində çoxsaylı backdoor (aka shell)-lər var.
Mən sənin yerinə olsaydım bunu harasa qurmusansa dərhal hostdan yerli dibli pozardım bunu bütün parollarımı da dəyişdirərdim dərhal + istifadəçilərə də xəbər verərdimki hamı öz email adresinə parolunu dəyişdirsin dərhal.
Normal təmiz + etibarlı bir mənbədən skripti tap işlət getsin bunun içindəkilər başdan ayağa backdoorlardır.Deşifrələməyin mənası olmayacaq boş-boşuna vaxt aparacaq onsuz da indidən də görünürki shell var skriptdə.
At getsin bunu.
İçində çoxsaylı backdoor (aka shell)-lər var.
Mən sənin yerinə olsaydım bunu harasa qurmusansa dərhal hostdan yerli dibli pozardım bunu bütün parollarımı da dəyişdirərdim dərhal + istifadəçilərə də xəbər verərdimki hamı öz email adresinə parolunu dəyişdirsin dərhal.
Normal təmiz + etibarlı bir mənbədən skripti tap işlət getsin bunun içindəkilər başdan ayağa backdoorlardır.Deşifrələməyin mənası olmayacaq boş-boşuna vaxt aparacaq onsuz da indidən də görünürki shell var skriptdə.
At getsin bunu.