|
|
发表于 2025-8-27 10:15:59
|
显示全部楼层
文件分析:core.func.php
该文件是一个高度混淆和加密的PHP脚本,经过分析,其主要特征和目的如下:
1. 文件性质
恶意软件/后门:该文件是一个经过多重混淆的PHP恶意脚本,常用于未授权访问(后门)、数据窃取或服务器控制。
代码混淆:使用了非ASCII字符命名变量/函数、base64编码、eval动态执行等手段隐藏真实代码。
2. 核心功能
自解密与执行:文件通过eval(base64_decode(...))动态解码并执行加密的代码。
反射机制:使用ReflectionFunction获取函数参数,常见于绕过安全检测。
环境检测:检查用户代{过}{滤}理、PHP运行环境(如CLI模式)、已定义变量等,以规避调试或分析。
Payload交付:最终可能下载或执行外部恶意代码,但具体Payload被深度加密。
3. 安全风险
远程代码执行:攻击者可通过特定HTTP请求触发恶意逻辑,控制服务器。
数据泄露:可能窃取服务器敏感信息或数据库内容。
持久化:该脚本可能作为持久后门,确保攻击者长期访问。
4. 建议操作
立即删除:建议从服务器中删除此文件。
安全检查:
扫描服务器其他文件,查找类似混淆代码。
检查服务器日志,排查可疑访问记录。
更新所有密码(数据库、FTP、SSH等)。
加强防护:
确保PHP配置中禁用危险函数(如eval、system)。
使用WAF(Web应用防火墙)监控异常请求。
定期更新系统和应用补丁。
5. 技术细节(示例解码)
文件中一段base64解码后:
php
if (!defined('T62D6CD628210A3997C885D958E27270A')) {
define('T62D6CD628210A3997C885D958E27270A', __FILE__);
if (!function_exists('�լ����')) {
// ... 混淆的变量和函数定义
}
}
该代码定义常量并检查函数是否存在,确保恶意代码只运行一次。
注意:该文件明显为恶意脚本,切勿在生产环境中保留或执行。如需进一步分析,建议在隔离环境中使用专业工具(如调试器、静态分析工具)解密全部逻辑。 |
|
提升卡
置顶卡
喧嚣卡
变色卡