Я использовал phpcs-fixer для красивого просмотра этого скрипта.Вы можете видеть это здесь .Я не трачу много времени на декодирование, поэтому могу ошибаться в своих рассуждениях =)
Функция IIlFCqjaR5JVZ33VAo
похожа на улучшенную function_exists
, которая проверяет, существует ли функция, вызывается ли она и не отключена (получить отini)
function __function_exists($functionName)
{
$functionName=strtolower(trim($functionName));
if ($functionName=='') {
return false;
}
$disabledFunctions=explode(",", @ini_get("disable_functions"));
if (empty($disabledFunctions)) {
$disabledFunctions=array();
} else {
$disabledFunctions=array_map('trim', array_map('strtolower', $disabledFunctions));
}
return (function_exists($functionName) && is_callable($functionName) && !in_array($functionName, $disabledFunctions));
}
Скрипт собирает много вещей в файлы.Имена файлов закодированы по этим правилам:
// this is like file hash
$ItZg0lwPNAV8rSZCcknwRw6=md5(__FILE__);
// ... some other stuff and define directory like {path_to_file}/cache{file_hash}
$Id3jh7jnThGJnxV0=dirname(__FILE__).DIRECTORY_SEPARATOR."cache".$ItZg0lwPNAV8rSZCcknwRw6;
// and then file stored in defined dir
$Id3jh7jnThGJnxV1=$Id3jh7jnThGJnxV0.DIRECTORY_SEPARATOR."ke".substr($ItZg0lwPNAV8rSZCcknwRw6, 0, 8)."ys";
// and so on for [keys, useragents, botips, referers, ...] with interesting logic which I don'tfully understand
А затем некоторые данные отправляются на http://main.infowp.info/getdata.php
.Но я не уверен.Почему этот домен?Вы можете видеть это здесь
И он определяет, какая CMS использовалась: WP, Drupal или Joomla, проверяя, существуют ли определенные функция и класс: wp_insert_post, node_save, JFactory.